IDP-Ereignisprotokollierung
Das IDP-System verbessert die standardmäßige Protokollierung von Junos OS, indem es detaillierte Ereignisprotokolle für erkannte Angriffe generiert. Um das potenziell hohe Volumen an Protokollen während solcher Ereignisse zu verwalten, unterstützt IDP die konfigurierbare Protokollunterdrückung, die mehrere identische Ereignisse in einzelnen Einträgen konsolidiert und so die Protokollverwaltung und die Systemleistung optimiert.
Die grundlegende Junos OS-Systemprotokollierung funktioniert auch nach der Aktivierung des IDP weiterhin.
Weitere Informationen finden Sie in den folgenden Themen:
Grundlegendes zur IDP-Protokollierung
Ein IDP-fähiges Gerät zeichnet weiterhin Ereignisse auf, die aufgrund von Routinevorgängen auftreten, z. B. einer Benutzeranmeldung bei der Konfigurationsdatenbank. Es zeichnet Fehler- und Fehlerbedingungen auf, z. B. das Fehlschlagen beim Zugriff auf eine Konfigurationsdatei. Sie können Dateien so konfigurieren, dass Systemmeldungen protokolliert werden, und Meldungen auch Attribute wie Schweregrade zuweisen. Zusätzlich zu den regulären Systemprotokollmeldungen generiert IDP Ereignisprotokolle für Angriffe.
IDP generiert Ereignisprotokolle, wenn ein Ereignis mit einer IDP-Richtlinienregel übereinstimmt, in der die Protokollierung aktiviert ist. Wenn Sie eine Regel für die Protokollierung konfigurieren, erstellt das Gerät einen Protokolleintrag für jedes Ereignis, das dieser Regel entspricht. Sie können die CLI oder J-Web verwenden, um die Richtlinienregeln zum Generieren von Ereignisprotokollen zu konfigurieren.
In der Ereignisprotokollmeldung (IDP_ATTACK_LOG_EVENT_LS zur Erkennung von IDP-Angriffen werden die Felder "Verstrichene Zeit", "Inbytes", "Outbytes", "Inpakete" und "Outpackets" nicht ausgefüllt.
Da IDP-Ereignisprotokolle während eines Angriffs generiert werden, erfolgt die Protokollgenerierung in Bursts, sodass während eines Angriffs eine viel größere Menge an Nachrichten generiert wird. Im Vergleich zu anderen Ereignismeldungen ist die Nachrichtengröße bei Angriffsnachrichten auch viel größer. Das Protokollvolumen und die Meldungsgröße sind wichtige Aspekte für die Protokollverwaltung. Um die Menge der Protokollmeldungen besser verwalten zu können, unterstützt IDP die Protokollunterdrückung.
Durch Konfigurieren der Protokollunterdrückung können Sie mehrere Instanzen desselben Protokolls unterdrücken, die in derselben oder ähnlichen Sitzungen über denselben Zeitraum auftreten. Durch die Aktivierung der Protokollunterdrückung wird sichergestellt, dass nur eine minimale Anzahl von Protokollen für dasselbe Ereignis oder denselben Angriff generiert wird, das bzw. der mehrmals auftritt.
Siehe auch
Grundlegendes zu Attributen für die Unterdrückung von IDP-Protokollen
Durch die Protokollunterdrückung wird sichergestellt, dass nur eine minimale Anzahl von Protokollen für dasselbe Ereignis oder denselben Angriff generiert wird, das bzw. der mehrmals auftritt. Die Protokollunterdrückung ist standardmäßig aktiviert. Sie können bestimmte Protokollunterdrückungsattribute so konfigurieren, dass Protokolle entsprechend Ihren Anforderungen unterdrückt werden. Beachten Sie beim Konfigurieren der Protokollunterdrückung, dass sich die Protokollunterdrückung negativ auf die Sensorleistung auswirken kann, wenn Sie das Berichtsintervall zu hoch festlegen.
Sie können die folgenden Protokollunterdrückungsattribute konfigurieren:
Zieladressen bei der Protokollunterdrückung einschließen: Sie können Protokolldatensätze für Ereignisse mit einer übereinstimmenden Quelladresse kombinieren. Standardmäßig berücksichtigt der IDP-Sensor das Ziel nicht, wenn er Ereignisse für die Protokollunterdrückung abgleicht.
Anzahl der Protokollvorkommen, nach denen die Protokollunterdrückung beginnt: Sie können die Anzahl der Instanzen angeben, die ein bestimmtes Ereignis auftreten muss, bevor die Protokollunterdrückung beginnt. Standardmäßig beginnt die Protokollunterdrückung nach dem ersten Auftreten.
Maximale Anzahl von Protokollen, auf die die Protokollunterdrückung angewendet werden kann: Wenn die Protokollunterdrückung aktiviert ist, muss Intrusion Detection and Prevention (IDP) Protokolldatensätze zwischenspeichern, damit erkannt werden kann, wann mehrere Vorkommen desselben Ereignisses auftreten. Sie können angeben, wie viele Protokolldatensätze gleichzeitig von IDP verfolgt werden. Standardmäßig beträgt die maximale Anzahl von Protokolldatensätzen, mit denen IDP arbeiten kann, 16.384.
Zeit, nach der unterdrückte Protokolle gemeldet werden: Wenn die Protokollunterdrückung aktiviert ist, verwaltet IDP die Anzahl der Vorkommen desselben Ereignisses. Nachdem die angegebene Anzahl von Sekunden verstrichen ist, schreibt IDP einen einzelnen Protokolleintrag, der die Anzahl der Vorkommen enthält. Standardmäßig meldet IDP unterdrückte Protokolle nach 5 Sekunden.
Beispiel: Konfigurieren von Attributen für die Unterdrückung von IDP-Protokollen
In diesem Beispiel wird gezeigt, wie Protokollunterdrückungsattribute konfiguriert werden.
Anforderungen
Bevor Sie beginnen:
Konfigurieren von Netzwerkschnittstellen.
Laden Sie die Signaturdatenbank herunter. Weitere Informationen finden Sie unter Übersicht über das manuelle Aktualisieren der IDP-Signaturdatenbank.
Überblick
Durch die Protokollunterdrückung wird sichergestellt, dass nur eine minimale Anzahl von Protokollen für dasselbe Ereignis oder denselben Angriff generiert wird, das bzw. der mehrmals auftritt. Die Protokollunterdrückung ist standardmäßig aktiviert. Sie können bestimmte Protokollunterdrückungsattribute so konfigurieren, dass Protokolle entsprechend Ihren Anforderungen unterdrückt werden.
In diesem Beispiel konfigurieren Sie die Protokollunterdrückung so, dass sie nach dem zweiten Auftreten eines Ereignisses beginnt, und geben an, dass Protokolle nach 20 Sekunden gemeldet werden.
Konfiguration
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Protokollunterdrückungsattribute:
Geben Sie die Protokollnummer an, nach der Sie mit der Protokollunterdrückung beginnen möchten.
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
Geben Sie die maximale Zeit an, nach der unterdrückte Protokolle gemeldet werden.
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
Wenn Sie mit der Konfiguration des Geräts fertig sind, bestätigen Sie die Konfiguration.
[edit] user@host# commit
Verifizierung
Geben Sie den Befehl ein, um die show security idp counters log Protokollstatistik zu überprüfen.
Grundlegendes zur Verwendung von IDP-Protokollinformationen auf der UAC-Einheit der IC-Serie
Die UAC-Appliance der IC-Serie für die UAC-Einheit (Unified Access Control) kann Intrusion Detection and Prevention (IDP)-Angriffsprotokollinformationen verwenden, die vom Gerät von Juniper Networks gesendet werden, um Zugriffsrichtlinien für Datenverkehr anzuwenden, bei dem IDP-Protokolle anzeigen, dass ein Angriff erkannt wurde. Über einen sicheren Kommunikationskanal werden diese IDP-Protokolle direkt und sicher an die Appliance der IC-Serie gesendet. IDP-Angriffsprotokolle werden über den JUEP-Kommunikationskanal an die Einheit der IC-Serie gesendet.
Dieses Thema enthält die folgenden Abschnitte:
- Nachrichtenfilterung zur UAC-Einheit der IC-Serie
- Konfigurieren der UAC-Appliance-Protokollierung der IC-Serie
Nachrichtenfilterung zur UAC-Einheit der IC-Serie
Wenn Sie die UAC-Einheit der IC-Serie für den Empfang von IDP-Protokollmeldungen konfigurieren, legen Sie bestimmte Filterparameter auf der Einheit der IC-Serie fest. Ohne diese Filterung könnte die Appliance der IC-Serie möglicherweise zu viele Protokollmeldungen empfangen. Zu den Filterparametern können die folgenden gehören:
Die Appliance der IC-Serie sollte nur Mitteilungen von IDP für Sitzungen empfangen, die sie authentifiziert hat. Weitere Informationen finden Sie im Unified Access Control-Administrationshandbuch .
Sie können Appliance-Filter der IC-Serie für den Empfang von IDP-Protokolldateien basierend auf ihrem Schweregrad erstellen. Wenn beispielsweise der Schweregrad auf der Appliance der IC-Serie auf "Hoch" festgelegt ist, sendet IDP nur Protokolle mit einem Schweregrad, der größer oder gleich "hoch" ist. Weitere Informationen finden Sie im Unified Access Control-Administrationshandbuch .
Über die Appliance der IC-Serie können Sie den Empfang aller IDP-Protokolle deaktivieren. Weitere Informationen finden Sie im Unified Access Control-Administrationshandbuch .
Konfigurieren der UAC-Appliance-Protokollierung der IC-Serie
Die gesamte Konfiguration für den Empfang und das Filtern von IDP-Protokollen erfolgt auf der UAC-Einheit der IC-Serie. Im Unified Access Control-Administrationshandbuch finden Sie Konfigurationsinformationen für den Empfang von IDP-Protokollen und Details zum JUEP-Kommunikationskanal.
IDP-Alarme und Auditing
Standardmäßig protokolliert IDP das Auftreten eines Ereignisses, ohne den Administrator zu alarmieren. Wenn das System für die Protokollierung eines Ereignisses konfiguriert ist und die potential-violation Option festgelegt ist, werden IDP-Protokolle in der Packet Forwarding Engine an die Routing-Engine weitergeleitet. Die Routing-Engine analysiert dann die IDP-Angriffsprotokolle und löst bei Bedarf IDP-Alarme aus.
Um einen IDP-Alarm zu aktivieren, verwenden Sie den folgenden
set security alarms potential-violation idpBefehl.Verwenden Sie den
show security alarmsBefehl, um zu überprüfen, ob die Konfiguration ordnungsgemäß funktioniert.
In Versionen vor Junos OS Version 11.2 enthalten IDP-Angriffsprotokolle Informationen über ein Angriffsereignis, lösen jedoch keine Alarme für den Administrator aus.