PHÂN TÍCH EVENTS

Một phần của tài liệu Cấu hình và quản trị SOURCEFIRE IPS (Trang 72 - 86)

- Phân tích và tạo ra report là một trong các công việc quan trọng nhất của người vận hành và quản trị hệ thống IDS/IPS

- Sourcefire cung cấp đầy đủ thông tin về cả loại report, cho phép người quản trị truy vấn và lọc các thông tin cần thiết.

- Các report tạo ra mặc định và thường xuyên được theo dõi đã được tạo ra bởi report về báo cáo

1. Event Summary

- Event Summary là tổng hợp các Event liên quan tới hệ thống Sourcefire như: + Intrusion Event

+ RNA Static

- Người quản trị có thể xem tổng hợp về các Intrusion Event tại mục này, hàng ngày có thể theo dõi các cuộc tấn công tổng hợp tại đây’

+ Người quản trị có thể lựa chọn khoảng thời gian cần theo dõi + Lựa chọn những Event liên quan tới các Detection Engine nào

+ Tổng hợp Event cho phép người quản trị xem tổng sô Event liên quan tới Detection Engine đó trong một khoảng thời gian lựa chọn.

b. Event Graphs

- Người quản trị có thể theo dõi Intrustion Event dưới dạng bảng biểu dễ theo dõi hơn

c. Drashboard

d. RNA Statics

- Người quản trị có thể theo dõi thông tin tổng quát nhất về RNA + Event về RNA

+ Các Protocols + Services + OS

- Thông tin tổng quan

e. Flow Summary

- Người quản trị có thể theo dõi theo bảng biểu về toàn bộ giao tiếp phát sinh trên thiết bị theo: Thời gian, địa chỉ IP, các dịch vụ,….

2. Phân tích Event về IPS

- Intrusion Event được thiết kế và thực hiện chi tiết tại tài liệu thiết kế Report.

- Intrusion Event liên quan toàn bộ các Event về IPS, người quản trị có thể kiểm tra theo dõi số lượng Event theo:

+ Theo thời gian

+ Theo Detection Engine

3. Phân tích Event về RNA

- Người quản trị có thể theo dõi các thông tin về hệ thống mạng thông qua phát hiện từ tính năng RNA

a. Network Map

- Đây là giao diện quản trị Sourcefire với tính năng RNA Netowrk Map với địa chỉ IP 172.29.1.18

b. Services hoạt động trong hệ thống mạng

- Người quản trị có thể vào RNA  Services để phát hiện xem hệ thống đang chạy những Services gì và những Services đó đang hoạt động trên máy nào

- Chi tiết service HTTP với Vendor là YTS

- Quản trị ứng dụng chạy trên hệ thống mạng

- Người quản trị có thể dựa vào tính năng RNA  Application để kiểm tra các ứng dụng hoạt động trong hệ thống mạng

- Thông tin quản trị các ứng dụng trong hệ thống

4. Phân tích Event về RUA

- Toàn bộ các bước chi tiết từ phân tích tới từng bước làm được tổng hợp trong tài liệu thiết kế Report.

Một phần của tài liệu Cấu hình và quản trị SOURCEFIRE IPS (Trang 72 - 86)

Tải bản đầy đủ (PDF)

(104 trang)