IDS/IPS

IDS nədir?

Intrusion Detection System (IDS) zərərli hərəkətlər və ya siyasət pozuntuları üçün şəbəkə və ya sistem fəaliyyətlərini izləmək üçün nəzərdə tutulmuş təhlükəsizlik texnologiyasıdır. O, daxil olan və gedən şəbəkə trafikini təhlil edir, potensial təhlükəsizlik təhdidlərini müəyyən edir və idarəçiləri xəbərdar edir. IDS-in iki əsas növü var: real vaxt rejimində şəbəkə trafikini yoxlayan şəbəkə əsaslı IDS və ayrı-ayrı cihazlarda fəaliyyətlərə nəzarət edən host əsaslı IDS. IDS anomaliyaları və şübhəli nümunələri aşkar etmək üçün əvvəlcədən təyin edilmiş imzalardan və davranış analizlərindən istifadə edir, təşkilatlara təhlükəsizlik insidentlərini dərhal müəyyən etməyə və onlara cavab verməyə kömək edir.

İPS nədir?

Hücumun qarşısının alınması sistemi (IPS) müəyyən edilmiş təhlükəsizlik təhdidlərini aktiv şəkildə bloklamaq və ya qarşısını almaqla müdaxilənin aşkarlanmasından kənara çıxan təhlükəsizlik həllidir. O, real vaxt rejimində şəbəkə və ya sistem fəaliyyətlərini təhlil etmək, zərərli davranışları aşkar etmək və potensial təhlükəsizlik pozuntularının qarşısını almaq üçün dərhal tədbirlər görmək üçün işləyir. IPS, məlum və naməlum təhlükələri müəyyən etmək və bloklamaq üçün imza əsaslı aşkarlama, anomaliya aşkarlama və evristik analiz kimi müxtəlif üsullardan istifadə edir. Zərərli fəaliyyətləri aktiv şəkildə bloklayaraq, IPS ümumi kibertəhlükəsizliyi gücləndirərək, şəbəkələri və sistemləri potensial istismar və hücumlardan qoruyan proaktiv müdafiə mexanizmi rolunu oynayır.

IDS/IPS necə işləyir?

Trafik Monitorinqi:

IDS/IPS davamlı olaraq şəbəkə trafikinə nəzarət edir, paketləri zərərli fəaliyyəti göstərən nümunələr üçün təhlil edir. Buraya imzaların, anomaliyaların və digər göstəricilərin araşdırılması daxildir.

İmza əsaslı aşkarlama:

IDS/IPS təhdidləri müəyyən etmək üçün əvvəlcədən təyin edilmiş imzalardan və ya məlum zərərli davranış nümunələrindən istifadə edir. İmzalar çox vaxt məlum zərərli proqramların, hücum üsullarının və ya zəifliklərin xüsusiyyətlərinə əsaslanır.

Anomaliyaya əsaslanan aşkarlama:

Anomaliya aşkarlanması normal şəbəkə davranışının əsas xəttinin yaradılmasını nəzərdə tutur. Qeyri-adi trafik nümunələri və ya yüksək məlumat ötürmə sürətləri kimi bu əsas xəttdən kənarlaşmalar xəbərdarlıqları işə salır.

Evristik əsaslı aşkarlama:

Evristik təhlil ümumi qaydalara və ya alqoritmlərə əsaslanaraq potensial zərərli davranışların müəyyən edilməsini nəzərdə tutur. O, şübhəli fəaliyyətləri tanımaqla yeni, əvvəllər naməlum təhlükələri aşkar edə bilər.

Xəbərdarlığın yaradılması:

IDS potensial təhlükəni müəyyən etdikdə xəbərdarlıqlar yaradır. Bu xəbərdarlıqlara adətən təhlükənin növü, onun mənbəyi və təyinatı və digər müvafiq detallar haqqında məlumatlar daxildir.

Logging:

IDS/IPS aşkar edilmiş təhlükələrin ətraflı qeydini təmin edən hadisələri qeyd edir. Bu qeydlər məhkəmə-tibbi analiz və hadisənin mahiyyətini anlamaq üçün dəyərlidir.

SIEM ilə inteqrasiya:

IDS/IPS sistemləri tez-tez SIEM həlləri ilə inteqrasiya edir, SOC analitikləri tərəfindən mərkəzləşdirilmiş monitorinq, korrelyasiya və təhlil üçün öz qeydlərini və xəbərdarlıqlarını SIEM-ə göndərir.

IDS/IPS ilə işləyən SOC analitikləri üçün əsas commandlar

IDS/IPS statusunu yoxlayın:

Analitiklər IDS/IPS sisteminin əməliyyat vəziyyətini və sağlamlığını yoxlamaq üçün əmrlərdən istifadə edə bilərlər.

show status

Son Aletləri nəzərdən keçirin:

IDS/IPS tərəfindən yaradılan son xəbərdarlıqlara baxmaq üçün.

show alerts

Block IP Address (IPS):

IPS-də, müəyyən bir IP ünvanından gələn trafiki bloklamaq üçün əmrlərdən istifadə edilə bilər.

block ip 192.168.1.1

Ağ siyahı/IP xaric et (IDS/IPS):

Müəyyən bir IP ünvanını aşkar etmək və ya bloklamaqdan xaric etmək.

whitelist ip 192.168.1.2

Həssaslığı tənzimləyin (IDS/IPS):

Yanlış pozitivləri azaltmaq və ya təhlükənin aşkarlanmasını artırmaq üçün IDS/IPS-in həssaslıq səviyyəsini dəyişdirin.

set sensitivity high

Sistem loglarını yoxlayın:

Sistem fəaliyyətlərinin və aşkar edilmiş hadisələrin ətraflı qeydlərinə baxmaq üçün.

show logs

İmzaları Yeniləyin (IDS/IPS):

IDS/IPS-in yeni təhlükələri aşkar etmək üçün ən son imzalara malik olduğundan əmin olun.

update signatures

Xüsusi hadisəni araşdırın:

Əlavə araşdırma üçün xüsusi hadisə və ya xəbərdarlığın təfərrüatlarını təhlil edin.

investigate event 123456

Konfiqurasiya Parametrlərinə baxın:

IDS/IPS-in cari konfiqurasiya parametrlərini nəzərdən keçirin.

show configuration