Logging IDS V11

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
PCVORORT
Beiträge: 25
Registriert: Sa 01.02.2014, 18:37

Logging IDS V11

Beitrag von PCVORORT »

Hallo Securepoint,

schön das Securepoint ein IDS-System am laufen hat, aber wird das auch im Log Protokolliert?

Ich sende unser Log per Syslog an unseren Logserver, bereits seit Monaten...
Aber die Schlüsselwörter "IDS", "Portscan", "Portsweep" und so weiter kommen im Log nicht vor...

Was kann ich tun damit die SecurePoint alle Alarme vernünftig dokumentiert???

Marcus Orthbandt

PCVORORT
Beiträge: 25
Registriert: Sa 01.02.2014, 18:37

Beitrag von PCVORORT »

Keine Antwort?
Schwach!

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Edith sagt: Klarer Fall von an der falschen Stelle geschaut. :blush:
In der Tat werden die IDS-DROPs mit einer entsprechenden Benennung versehen. Beispiel:

Code: Alles auswählen

DROP: Back Door Setup IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=10194 DF PROTO=TCP SPT=50111 DPT=5000 WINDOW=43690 RES=0x00 SYN URGP=0
Das entspricht genau dem Namen der IDS-Regel im Webinterface. Somit kann auch nach ebendiesem Namen im Syslog gefiltert werden.

Antworten