Journalisation des événements IDP
Le système IDP améliore la journalisation standard de Junos OS en générant des journaux d’événements détaillés pour les attaques détectées. Pour gérer le volume potentiellement élevé de journaux lors de tels événements, IDP prend en charge la suppression configurable des journaux, qui consolide plusieurs événements identiques en entrées uniques, optimisant ainsi la gestion des journaux et les performances du système.
La journalisation de base du système Junos OS continue de fonctionner après l’activation de l’IDP.
Pour plus d’informations, consultez les rubriques suivantes :
Comprendre la journalisation IDP
Un appareil compatible IDP continue d’enregistrer les événements qui se produisent en raison d’opérations de routine, telles qu’une connexion utilisateur à la base de données de configuration. Il enregistre les conditions de défaillance et d’erreur, telles que l’impossibilité d’accéder à un fichier de configuration. Vous pouvez configurer des fichiers pour consigner les messages système et leur attribuer des attributs, tels que des niveaux de gravité, aux messages. En plus des messages de journal système habituels, IDP génère des journaux d’événements pour les attaques.
IDP génère des journaux d’événements lorsqu’un événement correspond à une règle de stratégie IDP dans laquelle la journalisation est activée. Lorsque vous configurez une règle de journalisation, l’appareil crée une entrée de journal pour chaque événement qui correspond à cette règle. Vous pouvez utiliser l’interface de ligne de commande ou J-Web pour configurer les règles de stratégie afin de générer des journaux d’événements.
Dans le message du journal des événements de détection d’attaque IDP (IDP_ATTACK_LOG_EVENT_LS), les champs time elapsed, inbytes, outbytes, inpackets et outpackets ne sont pas renseignés.
Étant donné que les journaux d’événements IDP sont générés lors d’une attaque, la génération de journaux se fait en rafales, générant un volume beaucoup plus important de messages lors d’une attaque. Par rapport à d’autres messages d’événement, la taille du message est également beaucoup plus grande pour les messages générés par une attaque. Le volume et la taille des messages sont des préoccupations importantes pour la gestion des journaux. Pour mieux gérer le volume de messages de journal, IDP prend en charge la suppression de journal.
En configurant la suppression des journaux, vous pouvez supprimer plusieurs instances d’un même journal provenant de sessions identiques ou similaires sur la même période. L’activation de la suppression des journaux garantit qu’un nombre minimal de journaux sont générés pour le même événement ou la même attaque qui se produit plusieurs fois.
Voir aussi
Comprendre les attributs de suppression des journaux IDP
La suppression des journaux garantit qu’un nombre minimal de journaux sont générés pour le même événement ou la même attaque qui se produit plusieurs fois. La suppression des journaux est activée par défaut. Vous pouvez configurer certains attributs de suppression de journaux pour supprimer les journaux en fonction de vos besoins. Lorsque vous configurez la suppression des journaux, gardez à l’esprit que la suppression des journaux peut avoir un impact négatif sur les performances du capteur si vous définissez un intervalle de rapport trop élevé.
Vous pouvez configurer les attributs de suppression de journaux suivants :
Inclure les adresses de destination lors de la suppression du journal : vous pouvez choisir de combiner les enregistrements de journal des événements avec une adresse source correspondante. Par défaut, le capteur IDP ne tient pas compte de la destination lors de la mise en correspondance d’événements pour la suppression des journaux.
Nombre d’occurrences de journal après lesquelles la suppression de journal commence : vous pouvez spécifier le nombre d’instances pendant lesquelles un événement spécifique doit se produire avant que la suppression de journal ne commence. Par défaut, la suppression des journaux commence après la première occurrence.
Nombre maximal de journaux sur lesquels la suppression des journaux peut opérer : lorsque la suppression des journaux est activée, la détection et prévention des intrusions (IDP) doit mettre en cache les enregistrements du journal afin de pouvoir identifier lorsque plusieurs occurrences du même événement se produisent. Vous pouvez spécifier le nombre d’enregistrements de journal suivis simultanément par IDP. Par défaut, le nombre maximal d’enregistrements de journal sur lesquels IDP peut opérer est de 16 384.
Délai après lequel les journaux supprimés sont signalés : lorsque la suppression des journaux est activée, IDP tient à jour le nombre d’occurrences du même événement. Une fois le nombre de secondes spécifié écoulé, IDP écrit une seule entrée de journal contenant le nombre d’occurrences. Par défaut, IDP signale que les journaux ont été supprimés au bout de 5 secondes.
Exemple : configuration des attributs de suppression de journal IDP
Cet exemple montre comment configurer les attributs de suppression de journal.
Exigences
Avant de commencer :
Configurez les interfaces réseau.
Téléchargez la base de données de signatures. Reportez-vous à la section Mise à jour manuelle de la base de données de signatures IDP.
Aperçu
La suppression des journaux garantit qu’un nombre minimal de journaux sont générés pour le même événement ou la même attaque qui se produit plusieurs fois. La suppression des journaux est activée par défaut. Vous pouvez configurer certains attributs de suppression de journaux pour supprimer les journaux en fonction de vos besoins.
Dans cet exemple, vous configurez la suppression des journaux pour qu’elle commence après la deuxième occurrence d’un événement et spécifiez que les journaux sont signalés après 20 secondes.
Configuration
Procédure
Procédure étape par étape
Pour configurer les attributs de suppression des journaux :
Spécifiez le numéro de journal après lequel vous souhaitez démarrer la suppression du journal.
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
Spécifiez la durée maximale après laquelle les journaux supprimés sont signalés.
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
Si vous avez terminé de configurer l’appareil, validez la configuration.
[edit] user@host# commit
Vérification
Pour vérifier les statistiques du journal, entrez la show security idp counters log commande.
Comprendre l’utilisation des informations de journal IDP sur l’appliance UAC IC Series
L’appliance UAC IC Series pour l’appliance UAC (Unified Access Control) peut utiliser les informations du journal des attaques de détection et prévention d’intrusion (IDP) envoyées par l’équipement Juniper Networks pour appliquer des stratégies d’accès au trafic dans lequel les journaux IDP indiquent qu’une attaque a été détectée. À l’aide d’un canal de communication sécurisé, ces journaux IDP sont envoyés directement et en toute sécurité à l’appliance IC Series. Les journaux des attaques IDP sont envoyés à l’appliance IC Series via le canal de communication JUEP.
Cette rubrique contient les sections suivantes :
- Filtrage des messages vers l’appliance UAC IC Series
- Configuration de la journalisation de l’appliance UAC IC Series
Filtrage des messages vers l’appliance UAC IC Series
Lorsque vous configurez l’appliance UAC IC Series pour recevoir des messages de journal IDP, vous définissez certains paramètres de filtrage sur l’appliance IC Series. Sans ce filtrage, l’appliance IC Series risque de recevoir un trop grand nombre de messages de journal. Les paramètres de filtrage peuvent inclure les éléments suivants :
L’appliance IC Series ne doit recevoir des communications d’IDP que pour les sessions qu’elle a authentifiées. Pour plus d’informations, consultez le Guide d’administration du contrôle d’accès unifié .
Vous pouvez créer des filtres d’appliance IC Series pour recevoir les fichiers journaux IDP en fonction de leur gravité. Par exemple, si sur l’appliance IC Series, la gravité est définie sur élevée, IDP envoie uniquement les journaux dont la gravité est supérieure ou égale à élevée. Pour plus d’informations, consultez le Guide d’administration du contrôle d’accès unifié .
À partir de l’appliance IC Series, vous pouvez désactiver la réception de tous les journaux IDP. Pour plus d’informations, consultez le Guide d’administration du contrôle d’accès unifié .
Configuration de la journalisation de l’appliance UAC IC Series
Toute la configuration pour la réception et le filtrage des journaux IDP est effectuée sur l’appliance UAC IC Series. Vous devez vous référer au Guide d’administration du contrôle d’accès unifié pour obtenir des informations de configuration pour la réception des journaux IDP et des détails sur le canal de communication JUEP.
Alarmes et audit IDP
Par défaut, IDP consigne l’occurrence d’un événement sans déclencher d’alarme auprès de l’administrateur. Lorsque le système est configuré pour consigner un événement et que l’option potential-violation est définie, les journaux IDP du moteur de transfert de paquets sont transmis au moteur de routage. Le moteur de routage analyse ensuite les journaux des attaques IDP et déclenche des alarmes IDP si nécessaire.
Pour activer une alarme IDP, utilisez la
set security alarms potential-violation idpcommande.Pour vérifier que la configuration fonctionne correctement, utilisez la
show security alarmscommande.
Dans les versions antérieures à la version 11.2 de Junos OS, les journaux d’attaques IDP contiennent des informations sur un événement d’attaque, mais ne déclenchent pas d’alarmes auprès de l’administrateur.