Предотвращение вторжений

Предупреждение службы предотвращения вторжений:

alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)

Можно проанализировать IP-адрес, с которым была попытка подозрительного соединения, через whois.

1. Скачайте CSV-файл по соответствующей кнопке во вкладке Журнал в разделе Правила трафика -> Предотвращение вторжений.

2. Откройте CSV-файл в MS Excel и выделите весь первый столбец.

3. Перейдите во вкладку Данные и нажмите Текст по столбцам.

4. В открывшемся окне выберите с разделителями и нажмите Далее.

1. Выберите в качестве разделителя запятую и нажмите Далее.

1. Выберите текстовый формат данных столбца и нажмите Готово.

• DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.

• GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.

• SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).

• Авторизация с подозрительным логином

• Анонимайзеры - обнаруживает/блокирует анонимайзеры.

• Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.

• Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.

• Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.

• Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation).

• Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.

• Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.

• Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).

• Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE).

• Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.

• Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).

• Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).

• Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.

• Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.

• Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.

• Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.

• Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.

• Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.

• Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.

• Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.

• Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.

• Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.

• Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).

• Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".

• Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.

• Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.

• Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.

• Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).

• Попытки сканирования сети - обнаруживает/блокирует сканирование сети.

• Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы.

• Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.

• Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.

• Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.

• Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).

• Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.

• Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.

• Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.

• Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).

Задача: Необходимо исключить из обработки узел 192.168.154.7.

Решение:

1. В файл /var/opt/ideco/suricata-backend/custom.rules добавьте следующую строку: pass ip 192.168.154.7 any <> any any (sid:1;).

2. Затем в разделе Терминал выполните команду systemctl restart ideco-suricata-backend.service.

При создании нескольких ручных правил обязательно изменяйте ID-правила (sid:2;), иначе служба предотвращения вторжений прекратит работу из-за наличия нескольких правил с одним sid.