IPSイベントを見つける方法
Sonicwall osファイアウォールを使用しており、セキュリティダッシュボードには先月の侵入防止イベントが約9件表示されています。ほとんどは「不審なCIFSトラフィック4」と呼ばれます。リモート集中ログ用に、ローカル0のファシリティでsyslogサーバーをセットアップしています。
IPSイベントの兆候がsyslogに表示されません。他に考えられるほとんどすべてのものが表示されます。すべての接続の開閉、コンテンツが原因でブロックされたWebサイト、不正なパスワード試行、Smurfブロックされた増幅の試みなど...
私の唯一の推測では、施設の設定を変更する必要がありますが、見つかったいくつかのヒットは、私が持っているものを使用しているようです。
Sonicwallはこれらのイベントをsyslogから除外して、ログツールの購入を強制していますか?それとも私はいつもより暗くなっていますか?
愚かな私。
ログに記録されない「優先度の低い」イベントがありました。
同様の経験をしている可能性のある方のために、ログに記録されているイベント(閲覧アクティビティなど)が多すぎて、優先度の低いイベントをログに記録し続けることが保証されていないようであることを忘れていました。そうは言っても、この「IPS検出アラート:FILE-TYPES-HTTP画像-JPEG 1A(HTTPダウンロード)」が低レベルの侵入と見なされる理由はわかりませんが、私はファイアウォールの専門家ではありません。ダッシュボードでは、最初に探していた不審なCIFSとは分類が異なるようです。私は少しイライラしていて好奇心が強いのですが、ここでベントする意味はありません。
Sonicwall.comによると、疑わしいCIFSは優先度の低い脅威と見なされています