Registro de eventos de IDP
El sistema IDP mejora el registro estándar de Junos OS mediante la generación de registros de eventos detallados para los ataques detectados. Para administrar el alto volumen potencial de registros durante tales eventos, IDP admite la supresión de registros configurable, que consolida varios eventos idénticos en entradas únicas, optimizando la administración de registros y el rendimiento del sistema.
El registro básico del sistema Junos OS sigue funcionando después de habilitar el IDP.
Para obtener más información, consulte los temas siguientes:
Descripción del registro de desplazados internos
Un dispositivo habilitado para IDP continúa registrando eventos que se producen debido a operaciones rutinarias, como un inicio de sesión de usuario en la base de datos de configuración. Registra condiciones de error y error, como la falta de acceso a un archivo de configuración. Puede configurar archivos para registrar mensajes del sistema y también asignar atributos, como niveles de gravedad, a los mensajes. Además de los mensajes regulares de registro del sistema, IDP genera registros de eventos para ataques.
IDP genera registros de eventos cuando un evento coincide con una regla de política de IDP en la que el registro está habilitado. Cuando se configura una regla para el registro, el dispositivo crea una entrada de registro para cada evento que coincida con esa regla. Puede usar la CLI o J-Web para configurar las reglas de políticas para generar registros de eventos.
En el mensaje de registro de eventos (IDP_ATTACK_LOG_EVENT_LS) de detección de ataques IDP, los campos tiempo transcurrido, inbytes, outbytes, inpackets y outpackets no se rellenan.
Debido a que los registros de eventos de IDP se generan durante un ataque, la generación de registros ocurre en ráfagas, generando un volumen mucho mayor de mensajes durante un ataque. En comparación con otros mensajes de eventos, el tamaño del mensaje también es mucho mayor para los mensajes generados por ataques. El volumen de registro y el tamaño del mensaje son preocupaciones importantes para la administración de registros. Para administrar mejor el volumen de mensajes de registro, IDP admite la supresión de registros.
Mediante la configuración de la supresión de registros, puede suprimir varias instancias del mismo registro que se produzcan en sesiones iguales o similares durante el mismo período de tiempo. Habilitar la supresión de registros garantiza que se genere un número mínimo de registros para el mismo evento o ataque que se produce varias veces.
Ver también
Descripción de los atributos de supresión de registros de IDP
La supresión de registros garantiza que se genere un número mínimo de registros para el mismo evento o ataque que se produce varias veces. La supresión de registros está habilitada de forma predeterminada. Puede configurar determinados atributos de supresión de registros para suprimir registros según sus necesidades. Al configurar la supresión de registros, tenga en cuenta que la supresión de registros puede afectar negativamente al rendimiento del sensor si establece un intervalo de informe demasiado alto.
Puede configurar los siguientes atributos de supresión de registros:
Incluir direcciones de destino mientras se realiza la supresión de registros: puede optar por combinar los registros de eventos con una dirección de origen coincidente. De forma predeterminada, el sensor IDP no tiene en cuenta el destino cuando hace coincidir eventos para la supresión de registros.
Número de ocurrencias de registros después de las cuales comienza la supresión de registros: puede especificar el número de instancias en las que debe producirse un evento específico antes de que comience la supresión de registros. De forma predeterminada, la supresión de registros comienza después de la primera aparición.
Número máximo de registros en los que puede funcionar la supresión de registros: cuando la supresión de registros está habilitada, la detección y prevención de intrusiones (IDP) debe almacenar en caché los registros de registro para poder identificar cuándo se producen varias repeticiones del mismo evento. Puede especificar cuántos registros de registro realiza un seguimiento simultáneo el IDP. De forma predeterminada, el número máximo de registros en los que IDP puede operar es 16.384.
Tiempo después del cual se notifican los registros suprimidos: cuando la supresión de registros está habilitada, IDP mantiene un recuento de las ocurrencias del mismo evento. Una vez transcurrido el número de segundos especificado, IDP escribe una sola entrada de registro que contiene el recuento de ocurrencias. De forma predeterminada, los informes de IDP suprimen los registros después de 5 segundos.
Ejemplo: configuración de atributos de supresión de registros de IDP
En este ejemplo se muestra cómo configurar los atributos de supresión de registros.
Requisitos
Antes de empezar:
Configure las interfaces de red.
Descargue la base de datos de firmas. Consulte Información general sobre la actualización manual de la base de datos de firmas de IDP.
Visión general
La supresión de registros garantiza que se genere un número mínimo de registros para el mismo evento o ataque que se produce varias veces. La supresión de registros está habilitada de forma predeterminada. Puede configurar determinados atributos de supresión de registros para suprimir registros según sus necesidades.
En este ejemplo, configure la supresión de registros para que comience después de la segunda aparición de un evento y especifique que los registros se notifiquen después de 20 segundos.
Configuración
Procedimiento
Procedimiento paso a paso
Para configurar los atributos de supresión de registros:
Especifique el número de registro después del cual desea iniciar la supresión de registros.
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
Especifique el tiempo máximo después del cual se notifican los registros suprimidos.
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
Si ha terminado de configurar el dispositivo, confirme la configuración.
[edit] user@host# commit
Verificación
Para comprobar las estadísticas de registro, escriba el show security idp counters log comando.
Descripción del uso de la información de registro de IDP en el dispositivo UAC de la serie IC
El dispositivo UAC serie IC para el dispositivo de control de acceso unificado (UAC) puede usar la información del registro de ataques de detección y prevención de intrusiones (IDP) enviada desde el dispositivo de Juniper Networks para aplicar políticas de acceso al tráfico en el que los registros de IDP indican que se ha detectado un ataque. Mediante un canal de comunicación seguro, estos registros de IDP se envían al dispositivo de la serie IC de forma directa y segura. Los registros de ataques IDP se envían al dispositivo de la serie IC a través del canal de comunicación JUEP.
Este tema contiene las siguientes secciones:
- Filtrado de mensajes para el dispositivo UAC de la serie IC
- Configuración del registro de dispositivos UAC de la serie IC
Filtrado de mensajes para el dispositivo UAC de la serie IC
Cuando configure el dispositivo UAC de la serie IC para recibir mensajes de registro de IDP, se establecen determinados parámetros de filtrado en el dispositivo de la serie IC. Sin este filtrado, el dispositivo de la serie IC podría recibir demasiados mensajes de registro. Los parámetros de filtrado pueden incluir lo siguiente:
El dispositivo de la serie IC solo debe recibir comunicaciones del IDP para las sesiones que haya autenticado. Consulte la Guía de administración del control de acceso unificado para obtener más información.
Puede crear filtros de dispositivo de la serie IC para recibir archivos de registros de IDP en función de su gravedad. Por ejemplo, si en el dispositivo de la serie IC la gravedad se establece en alta, IDP solo envía registros que tienen una gravedad mayor o igual que alta. Consulte la Guía de administración del control de acceso unificado para obtener más información.
Desde el dispositivo de la serie IC, puede deshabilitar la recepción de todos los registros de IDP. Consulte la Guía de administración del control de acceso unificado para obtener más información.
Configuración del registro de dispositivos UAC de la serie IC
Toda la configuración para recibir y filtrar registros de IDP se realiza en el dispositivo UAC de la serie IC. Debe consultar la Guía de administración del control de acceso unificado para obtener información de configuración para recibir registros de desplazados internos y detalles sobre el canal de comunicación de JUEP.
Alarmas de IDP y auditoría
De forma predeterminada, IDP registra la ocurrencia de un evento sin generar una alarma al administrador. Cuando el sistema está configurado para registrar un evento y se establece la potential-violation opción, los registros de IDP en el motor de reenvío de paquetes se reenvían al motor de enrutamiento. A continuación, el motor de enrutamiento analiza los registros de ataques de IDP y genera alarmas de IDP según sea necesario.
Para activar una alarma de IDP, utilice el
set security alarms potential-violation idpcomando.Para comprobar que la configuración funciona correctamente, utilice el
show security alarmscomando.
En versiones anteriores a Junos OS versión 11.2, los registros de ataques de IDP contienen información sobre un evento de ataque, pero no generan alarmas al administrador.