Blog (2)
Komentarze (7)
Recenzje (0)

ESET i mechanizm IDS

Strona główna@LukaszOlejnikESET i mechanizm IDS
09.07.2021 10:44

Od wersji 7 korporacyjnego rozwiązania antywirusowego firmy ESET mamy wbudowany mechanizm IDS. Korporacyjnego, czyli mam tu na myśli produkty dla dużych firm, takie jak ESMC i ESET Protect, który jest następcą ESMC.

Wspomniany Mechanizm Intrusion Detection System pozwala nam wychwycić niepokojące sygnały które dzieją się u nas w sieci, którą zarządzamy. Możemy wykryć próbę skanowania sieci (np. za pomocą nmpa), próby niepożądanego podłączenia do zasobów, zduplikowane adresy IP itp.

Pokażę poniżej jak go skonfigurować na przykładzie nowej reguły.

bECRdCaL

W zakładce Policies klikamy na przycisk Actions -> New. Utworzy nam się nowa reguła, którą nazywamy tak jak nam jest wygodnie (rys.1)

Rys 1. Tworzenie nowej reguły
Rys 1. Tworzenie nowej reguły

W zakładce Settings przechodzimy do opcji Network Protection (1) , dalej klikamy Network Attack Protection (2) i następnie klikamy IDS rules (Rys. 2)

Rys. 2 okno Network Protection
Rys. 2 okno Network Protection

W kolejnym oknie klikamy ADD (rys.3)

Rys 3. Okno dodawania reguł
Rys 3. Okno dodawania reguł

Kiedy klikniemy Add to wyświetli się okno konfigurowania konkretnej reguły. Do wyboru mamy wykrywanie skanowania portów TCP, UDP, zduplikowanych adresów IP, podłączania się do zasobów sieciowych i wiele innych. Wybieramy to co nas interesuje i mamy możliwości obsłużenia. Jest to ważne, bo ilość logów w zależności od wielkości organizacji może się wahać od 10 dziennie, do ponad 1 tys. Niektóre są false positive oczywiście, więc trzeba mieć też wiedzę, aby nie powycinać za dużo. (rys 4.)

Rys 4. Wybór reguł IDS
Rys 4. Wybór reguł IDS

Kiedy już zdecydujemy co chcemy monitorować wybieramy zakres, gdzie mają te reguły działać – czy ma to być pojedynczy komputer, kilka, czy całe podsieci. Tutaj warto zwrócić uwagę na akcje jakie ma podejmować IDS:

bECRdCaR

Block – blokuje wychodzący/przychodzący ruch

Notify – Użytkownik dostaje komunikat o zablokowanych działaniach (rys. 6). Tutaj warto uważać, aby nie dostawał za dużo komunikatów, bo potem, kiedy będą naprawdę istotne to będzie je ignorował. Zalecam ustawienie tej opcji na NO

Log – zdarzenie będzie rejestrowane. Po włączeniu tej opcji zdarzenia będą się pojawiały na panelu ESET Protection w zakładce Detections (rys 7.)

Rys 5 Zakres i akcje
Rys 5 Zakres i akcje
Rys 6. Komunikat o podejrzanym ruchu na komputerze
Rys 6. Komunikat o podejrzanym ruchu na komputerze
Rys 7. Przykładowy wpis w zakładce Detections
Rys 7. Przykładowy wpis w zakładce Detections

Życzę udanych łowów.

bECRdCaS

Autor posiada tytuł ESET Managed Client Security Proffesional. Artykuł nie jest sponsorowany.

bECRdCbH