Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
1. Nastavenie hardvéru a siete:
* SNONT SENSOR Hardware:
* Vyberte si vyhradenú hardvérovú platformu alebo virtuálny počítač s dostatočným výkonom spracovania a pamäťou pre štipku.
* Zaistite, že senzor má sieťové rozhrania schopné monitorovať prenos siete.
* sieťové pripojenie:
* Snot senzor musí byť umiestnený strategicky v sieti, aby sa pozrel prenos, ktorý chcete monitorovať.
* Zvážte „port rozpätia“ na prepínači, aby odrážal prenos na senzor bez narušenia hlavného toku siete.
* Ak máte vyhradenú sieť „Management“, uistite sa, že senzor má k nemu prístup pre konfiguráciu a aktualizácie.
2. Inštalácia a konfigurácia odfrknutia:
* inštalácia odflácania:
* Stiahnite si a nainštalujte balík SNONT IDS (zvyčajne z webovej stránky SNONT.ORG) pre váš operačný systém.
* Vyberte príslušnú verziu pre svoje potreby.
* Konfigurácia:
* Konfigurácia rozhrania: Definujte sieťové rozhrania, na ktorých bude Snort počúvať prenos.
* Predbežné spracovanie: Rozhodnite sa, ako by malo Snort predbežne spracovať prichádzajúce pakety (napr. Pre objednávanie bajtov, kontrola čísla sekvencie TCP).
* Sada pravidiel: Vyberte príslušné sady pravidiel pre svoje prostredie.
* Snortovo vopred zabalené pravidlá: Snort prichádza so súbormi pravidiel ako „komunita“ (súbor všeobecných účelov) a „vznikajúcich“ (pre novšie hrozby).
* Vlastné pravidlá: Môžete si vytvoriť svoje vlastné pravidlá na zisťovanie konkrétnych zraniteľností alebo vzorov správania siete.
* Výstupné metódy: Nakonfigurujte, ako oznámenia výstrahy, napríklad:
* konzola: Zobrazovanie výstrah na konzole senzora.
* Protokolovanie: Písanie upozornení do súboru.
* Výstražné systémy: Integrácia s externými nástrojmi, ako sú e -mailové servery, servery syslogu alebo SIEMS.
3. Webové rozhranie konzoly (Management)
* SNONT Web Interface (voliteľné):
* Vstavané rozhranie Snort: Niektoré verzie Snort obsahujú základné webové rozhranie.
* Nástroje tretích strán: Mnoho komerčných a otvorených zdrojových nástrojov na správu poskytuje integráciu SNONT:
* Otvorený zdroj:
* bezpečnostná cibuľa: Úplná distribúcia zabezpečenia s SNONT, SURICATA a ďalšie bezpečnostné nástroje.
* elsa (elasticsearch, logstash, Snort a varovanie): Používa Elasticsearch a LogSTASH na efektívne zber a analýzu udalostí.
* komerčné:
* AlienVault Ossim: Ponúka zjednotenú bezpečnostnú platformu s IDS, SIEM a ďalšími bezpečnostnými nástrojmi.
* ibm qradar: Komplexný systém SIEM a systém riadenia hrozieb.
4. Správa pravidiel a ladenie
* Aktualizácie pravidla: Udržujte aktualizované sady pravidiel spoločnosti Snort.
* ladenie pravidiel:
* False pozitíva: Znížte falošné pozitíva (upozornenia, ktoré nie sú skutočnými hrozbami) ladením pravidiel alebo ich pridaním kontextu.
* False Negative: Minimalizujte falošné negatívy (chýbajúce skutočné hrozby) zabezpečením, že máte príslušné súpravy pravidiel.
* Analýza výstrahy: Preskúmajte výstrahy, aby ste určili ich závažnosť a potenciálny vplyv na vašu sieť.
5. Monitorovanie a podávanie správ
* analýza protokolu: Pravidelne analyzujte protokoly odfukovania s cieľom identifikovať trendy, vzorce a potenciálne hrozby.
* Dashboards: Vizualizujte si odferovacie údaje pomocou dashboardov na monitorovanie zdravia siete a potenciálnych bezpečnostných incidentov.
Príklad konfigurácie:
* konfiguračný súbor SNONT (SNONT.CONF):
`` `
# Rozhranie na monitorovanie
# Predpokladá sa, že máte prepínač s nakonfigurovaným portom SPAN
# a senzor snotníka je pripojený k tomuto rozpätiu
vstupné rozhranie 0 eth1
# Možnosti predbežného spracovania (možno ich budete musieť upraviť)
predprocesorový motor PPS
predprocesor
fragment predprocesorového motora
# Sada pravidiel
# Používajte pre svoje prostredie príslušné sady
RulePath/etc/Snort/Pravidlá
# Predvolené sady pravidiel zahrnuté v SNONT
var Rule_path/etc/snot/pravidlá
Zahrňte $ pravidlo_path/community.rules
Zahrňte $ pravidlo_path/emerging.Rules
# Konfigurácia výstupu
výstup Syslog
`` `
Kľúčové úvahy:
* Výkon siete: Uistite sa, že senzor nemá negatívny vplyv na výkon vašej siete správnou konfiguráciou jej kapacity spracovania.
* False pozitíva: Očakávajte určitý počet falošných pozitív a máte plán na ich zníženie.
* Manipulácia s upozornením: Majte definovaný proces na riešenie a vyšetrovanie výstrah.
* Zabezpečenie senzora: Zaistite samotný snímač odflácania pred útokmi (napr. Používajte silné heslá, udržiavajte ho aktuálne a používajte brány firewall).
Pamätajte: Toto je prehľad na vysokej úrovni. Konkrétne konfiguračné kroky a výber, ktoré urobíte, budú závisieť od vášho sieťového prostredia, bezpečnostných potrieb a odforučnej verzie, ktorú používate. Je dôležité dôkladne skúmať a otestovať vašu konfiguráciu pred nasadením Snort vo výrobnom prostredí.