Registro de eventos IDP
O sistema IDP melhora o registro padrão do Junos OS gerando logs de eventos detalhados para ataques detectados. Para gerenciar o potencial alto volume de logs durante esses eventos, o IDP oferece suporte à supressão de log configurável, que consolida vários eventos idênticos em entradas individuais, otimizando o gerenciamento de logs e o desempenho do sistema.
O registro básico do sistema Junos OS continua funcionando após a habilitação do IDP.
Para obter mais informações, veja os seguintes tópicos:
Entendendo o registro de IDP
Um dispositivo habilitado para IDP continua a registrar eventos que ocorrem devido a operações rotineiras, como o login de um usuário no banco de dados de configuração. Ele registra falhas e condições de erro, como falha no acesso a um arquivo de configuração. Você pode configurar arquivos para registrar mensagens do sistema e também atribuir atributos, como níveis de gravidade, às mensagens. Além das mensagens de log de sistema regulares, o IDP gera logs de eventos para ataques.
O IDP gera logs de eventos quando um evento corresponde a uma regra de política de IDP na qual o registro é habilitado. Ao configurar uma regra para o registro, o dispositivo cria uma entrada de log para cada evento que corresponda a essa regra. Você pode usar a CLI ou a J-Web para configurar as regras de política para gerar logs de eventos.
Na mensagem de log de log de eventos de detecção de ataque IDP (IDP_ATTACK_LOG_EVENT_LS), os campos de tempo decorridos, inbytes, outbytes, inpackets e outpackets não são preenchidos.
Como os logs de eventos IDP são gerados durante um ataque, a geração de log acontece em rajadas, gerando um volume muito maior de mensagens durante um ataque. Em comparação com outras mensagens de eventos, o tamanho da mensagem também é muito maior para mensagens geradas por ataques. O volume de log e o tamanho da mensagem são preocupações importantes para o gerenciamento de logs. Para gerenciar melhor o volume de mensagens de log, o IDP oferece suporte à supressão de log.
Ao configurar a supressão de log, você pode suprimir várias instâncias do mesmo log que ocorrem a partir das mesmas sessões ou sessões semelhantes no mesmo período de tempo. Habilitar a supressão de log garante que um número mínimo de logs seja gerado para o mesmo evento ou ataque que ocorre várias vezes.
Veja também
Entendendo os atributos de supressão de log IDP
A supressão de log garante que um número mínimo de logs seja gerado para o mesmo evento ou ataque que ocorre várias vezes. A supressão de logs é habilitada por padrão. Você pode configurar determinados atributos de supressão de log para suprimir logs de acordo com suas necessidades. Ao configurar a supressão de log, tenha em mente que a supressão de log pode afetar negativamente o desempenho do sensor se você definir o intervalo de relatórios muito alto.
Você pode configurar os seguintes atributos de supressão de log:
Inclua endereços de destino enquanto realiza a supressão de log — você pode optar por combinar registros de log para eventos com um endereço de origem correspondente. Por padrão, o sensor IDP não considera o destino ao combinar eventos para a supressão de log.
Número de ocorrências de log após o qual a supressão de log começa — Você pode especificar o número de instâncias que um evento específico deve ocorrer antes que a supressão de log comece. Por padrão, a supressão de log começa após a primeira ocorrência.
O número máximo de logs em que a supressão de log pode operar — Quando a supressão de log é habilitada, a Detecção e Prevenção de Intrusões (IDP) deve registrar registros de registro de cache para que ele possa identificar quando ocorrem várias ocorrências do mesmo evento. Você pode especificar quantos registros de log são rastreados simultaneamente pelo IDP. Por padrão, o número máximo de registros de log em que o IDP pode operar é de 16.384.
Tempo após o qual os logs suprimidos são relatados — Quando a supressão de log é ativada, o IDP mantém uma contagem de ocorrências do mesmo evento. Após o número especificado de segundos ter passado, o IDP escreve uma única entrada de log contendo a contagem de ocorrências. Por padrão, o IDP relata logs suprimidos após 5 segundos.
Exemplo: configuração de atributos de supressão de log IDP
Este exemplo mostra como configurar atributos de supressão de log.
Requisitos
Antes de começar:
Configure interfaces de rede.
Baixe o banco de dados de assinaturas. Veja a atualização da visão geral manual do banco de dados de assinaturaS IDP.
Visão geral
A supressão de log garante que um número mínimo de logs seja gerado para o mesmo evento ou ataque que ocorre várias vezes. A supressão de logs é habilitada por padrão. Você pode configurar determinados atributos de supressão de log para suprimir logs de acordo com suas necessidades.
Neste exemplo, você configura a supressão de log para começar após a segunda ocorrência de um evento e especificar que os logs são relatados após 20 segundos.
Configuração
Procedimento
Procedimento passo a passo
Para configurar atributos de supressão de log:
Especifique o número de log após o qual você deseja iniciar a supressão de log.
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
Especifique o tempo máximo após o qual os logs suprimidos são relatados.
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
Se você terminar de configurar o dispositivo, confirme a configuração.
[edit] user@host# commit
Verificação
Para verificar as estatísticas de log, insira o show security idp counters log comando.
Entendendo o uso de informações de log IDP no UAC Appliance da Série IC
O dispositivo UAC Appliance da Série IC para controle unificado de acesso (UAC) pode usar informações de log de ataque de Detecção e Prevenção de Intrusões (IDP) enviadas do dispositivo da Juniper Networks para aplicar políticas de acesso ao tráfego nas quais os logs de IDP indicam que um ataque foi detectado. Usando um canal seguro de comunicação, esses logs IDP são enviados para o dispositivo da Série IC de forma direta e segura. Os logs de ataque IDP são enviados ao dispositivo da Série IC pelo canal de comunicação JUEP.
Este tópico contém as seguintes seções:
- Filtragem de mensagens para o UAC Appliance da Série IC
- Configuração do registro de dispositivos UAC da Série IC
Filtragem de mensagens para o UAC Appliance da Série IC
Ao configurar o UAC Appliance da Série IC para receber mensagens de log IDP, você define certos parâmetros de filtragem no dispositivo da Série IC. Sem essa filtragem, o dispositivo da Série IC poderia potencialmente receber muitas mensagens de log. Os parâmetros de filtragem podem incluir o seguinte:
O dispositivo da Série IC só deve receber comunicações do IDP para sessões autenticadas. Consulte o Guia da Administração unificada de controle de acesso para obter mais detalhes.
Você pode criar filtros de dispositivo da Série IC para receber arquivos de logs IDP com base na gravidade. Por exemplo, se no dispositivo da Série IC a gravidade estiver definida para alta, então o IDP apenas envia logs que tenham uma gravidade maior ou igual à alta. Consulte o Guia da Administração unificada de controle de acesso para obter mais detalhes.
A partir do dispositivo da Série IC, você pode desabilitar o recebimento de todos os logs de IDP. Consulte o Guia da Administração unificada de controle de acesso para obter mais detalhes.
Configuração do registro de dispositivos UAC da Série IC
Toda a configuração para recebimento e filtragem de logs IDP é feita no UAC Appliance da Série IC. Você deve consultar o Guia da Administração de Controle de Acesso Unificado para obter informações de configuração para receber logs de IDP e detalhes no canal de comunicação juep.
Alarmes IDP e auditoria
Por padrão, o IDP registra a ocorrência de um evento sem levantar um alarme para o administrador. Quando o sistema está configurado para registrar um evento e a opção potential-violation é definida, os logs de IDP no Mecanismo de encaminhamento de pacotes são encaminhados ao Mecanismo de Roteamento. O mecanismo de roteamento então analisa os logs de ataque IDP e aumenta os alarmes de IDP conforme necessário.
Para ativar um alarme IDP, use o
set security alarms potential-violation idpcomando.Para verificar se a configuração está funcionando corretamente, use o
show security alarmscomando.
Em versão antes do Junos OS Release 11.2, os logs de ataque IDP contêm informações sobre um evento de ataque, mas não levantam alarmes para o administrador.