Tenemos un SIEM en nuestro entorno que actualmente estamos sintonizando y parte de ese proceso es reducir el ruido en nuestra consola.
Una ofensa en la que he estado trabajando es: el firewall excesivo niega entre los hosts que contienen sesión denegada.
La regla que se está activando desde el tráfico y que genera la ofensiva es: Anomalía: el firewall excesivo se niega de una fuente única . La regla se construye de la siguiente manera:
- and when any of these BB:CategoryDefinition: Firewall or ACL Denies with the same source IP more than 400 times, across exactly 1 destination IP within 10 minutes
Tomé una muestra de infracciones 10/20, observé el tráfico y confirmé que el tráfico está afectando nuestra interfaz externa en la DMZ y que nuestros servidores de seguridad lo están negando. No permite.
Ya que estamos generando mucho ruido en nuestra consola, elevé el umbral de tiempo en la regla de 10 minutes
a 15 minutes
, que aún estaba generando ofensas. Luego lo subí de 15 minutes
a 30 minutes
.
+
Mi pregunta es que, dado que las negaciones que estamos viendo son legítimas, ¿debería aumentar el umbral de tiempo y / o instancias para que la regla genere una ofensa, por lo que solo veo un ataque sostenido a nuestro IP público? ¿En qué riesgos incurriría si hiciera este cambio, si lo hubiera?
¡Gracias por la ayuda!