您可以透過設定臨界值和速率篩選器來管理 NSX IDS/IPS 事件對系統特徵碼的產生速率。

如果未設定臨界值參數,則每當惡意流量與某個規則相符時,對應的特徵碼都會根據該規則定義的動作來產生一個 IPS 事件。透過為特徵碼設定臨界值,您可以控制特徵碼產生 IPS 事件的頻率。此外,您還可以動態調整規則的動作,當特定條件滿足時變更回應,這有助於即時保護工作負載免受惡意流量的影響。

NSX 4.2.1 開始,您可以在執行 IDPS 服務包版本 2406 或更新版本的系統特徵碼中設定臨界值。



只有升級後下載的服務包版本 2406 或更高版本才支援此功能。此外,自訂特徵碼不支援臨界值。如果是新安裝 NSX 4.2.1,則預設特徵碼服務包支援臨界值。如果是升級至 NSX 4.2.1,則預設特徵碼服務包不支援臨界值。

在為特徵碼設定臨界值和速率篩選器之前,請確保您瞭解在為特徵碼設定臨界值時所涉及的參數。

圖 1. 為系統特徵碼設定臨界值
臨界值:從以下選項中進行選擇: 臨界值限制兩者

  • 臨界值:為規則定義在觸發警示之前需達到的最小臨界值。例如,將臨界值計數設定為 10,這表示 IDS/IPS 只有在規則相符 10 次後才會產生警示。例如,如果臨界值設定為 10,則系統只有在一分鐘內從同一伺服器接收到 10 封或更多的傳入電子郵件時,才會產生警示。

    alert tcp !$HOME_NET any -> $HOME_NET 25 (msg:"ET POLICY Inbound Frequent Emails - Possible Spambot Inbound"; \
flow:established; content:"mail from|3a|"; nocase;                                                       \
threshold: type threshold, track by_src, count 10, seconds 60;                                           \
reference:url,doc.emergingthreats.net/2002087; classtype:misc-activity; sid:2002087; rev:10;)

  • 限制:使用此選項可防止發生警示洪泛。如果限制設定為 N,則系統在指定時間範圍內產生的警示數量不超過 N 個。例如,如果限制設定為 1,則在偵測到 MSIE 6.0 時,系統在三分鐘內每台主機最多僅會產生一個警示。

    alert http $HOME_NET any -> any $HTTP_PORTS (msg:"ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk"; \
flow:to_server,established; content:"|0d 0a|User-Agent|3a| Mozilla/4.0 (compatible|3b| MSIE 6.0|3b|";                \
threshold: type limit, track by_src, seconds 180, count 1;                                                           \
reference:url,doc.emergingthreats.net/2010706; classtype:policy-violation; sid:2010706; rev:7;)

  • 兩者:此類型是 [臨界值] 和 [限制] 類型的組合。它同時套用臨界值和限制。例如,如果該特徵碼在 360 秒內被觸發五次,則最多會產生一個警示。

    alert tcp $HOME_NET 5060 -> $EXTERNAL_NET any (msg:"ET VOIP Multiple Unauthorized SIP Responses TCP"; \
flow:established,from_server; content:"SIP/2.0 401 Unauthorized"; depth:24;                      \
threshold: type both, track by_src, count 5, seconds 360;                                        \
reference:url,doc.emergingthreats.net/2003194; classtype:attempted-dos; sid:2003194; rev:6;)
速率篩選器:當發生規則相符時,速率篩選器會將規則的動作變更為「捨棄」。此組態會在觸發速率篩選器時啟用,有助於阻止對工作負載的潛在攻擊。

例如,在以下程式碼中,您希望限制對 SSH 伺服器的傳入連線數。規則 888 會對指向 SSH 連接埠的 SYN 封包產生一個警示。如果某個 IP 位址在 60 秒內觸發此規則 10 次或更多次,則速率篩選器會將未來相符流量的動作切換為捨棄。速率篩選器將在 5 分鐘後到期。

rate_filter gen_id 1, sig_id 888, track by_src, count 10, seconds 60, \
  new_action drop, timeout 300

必要條件

  • 所選的 IDPS 服務包版本必須為 v2406 或更新版本

程序

  1. NSX Manager,移至安全性 > IDS/IPS 和 Malware Prevention (在 [原則管理] 區段下)。
  2. IDS/IPS 和 Malware Prevention 頁面上,移至特徵碼管理索引標籤,然後選取系統特徵碼
  3. 選取一個規則,按一下三個點,然後選取編輯動作臨界值
  4. 展開動作臨界值區段。
  5. 在 [臨界值組態] 中,設定以下欄位:
    1. 類型:您可以選擇 [限制]、[臨界值] 或 [兩者]。依預設,每個特徵碼的 [限制] 選項均設定為 [臨界值] 類型。
    2. 計數:設定用於在 IDPS 中觸發事件的臨界值所需的規則相符次數。可用範圍為 1 到 60。
    3. 追蹤:依預設,IPS 會監控並追蹤源自此來源的 IP 位址。
    4. 期間:指定規則必須在多長時間內達到所定義的計數。可用範圍為 1 到 3600 秒。
  6. 在 [速率篩選器] 區段中,設定以下欄位:
    1. 計數:設定觸發速率篩選器所需的規則相符次數,之後將新動作套用於該流量。可用範圍為 1 到 60。
    2. 期間:此參數定義必須在多長時間內達到該計數。可用範圍為 1 到 3600 秒。
    3. 逾時:此參數定義速率篩選器保持作用中狀態的持續時間。範圍為 1 到 3600 秒。
    4. 新動作:依預設,新動作設定為捨棄
  7. 按一下儲存
  8. 按一下發佈
  9. 檢視特徵碼中繼資料以查看新的臨界值組態。