Hallo,
Ich wollt mal in die Runde fragen, wie es andere machen…
Es gibt ja das alert center. Ist gut, aber doch wenig hilfreich. Da bekomm ich Meldungen was die Firewall abgefangen hat.
Viel wichtiger sind ja „suspekte“ Verbindungsversuche.
Ich hab eine drop Regel, von innen nach außen, mit der ich versuche solche, erfolgreichen Infektionen, bzw. deren Auswirkungen, zu erkennen.
Leider bekomme ich dafür keinen Alert, sondern muß das log manuell prüfen.
Gibt es da bessere Ansätze ?
Karl
Intrusion Alarm ?
Moderator: Securepoint
Gute Frage:
Du willst also anstelle von einer E-Mail, welche die UTM automatisch via Alerting-Center verschickt, auf andere Art und Weise mitbekommen,
wenn das IDS/IPDs eine verdächtige Verbindung blockt??!?
Mir würde da die SNMP-Schnittstelle einfallen, welche man ja aktiv "pollen" kann nach solchen Events, jedoch habe ich nichts Passendes in der MIB gefunden der UTM.
Oder du checkst das Syslog eines remote-Syslog-Servers, welchen du der UTM mitgibst?
Nice to have / Feature request wäre eine Anbindung vom IDS/IPS der UTM an die SIEM Schnittstelle, sodass andere System wie zB OpenVAS derartige Events auch mitbekommen
Unabhängig davon:
Selbst wenn du es "mitbekommst", bringt dir hier erst wieder ein EDR und ein Vulnerability-System etwas, um auch das Endgerät vom Netz automatisiert zu entkoppeln, denke ich...
Du willst also anstelle von einer E-Mail, welche die UTM automatisch via Alerting-Center verschickt, auf andere Art und Weise mitbekommen,
wenn das IDS/IPDs eine verdächtige Verbindung blockt??!?
Mir würde da die SNMP-Schnittstelle einfallen, welche man ja aktiv "pollen" kann nach solchen Events, jedoch habe ich nichts Passendes in der MIB gefunden der UTM.
Oder du checkst das Syslog eines remote-Syslog-Servers, welchen du der UTM mitgibst?
Nice to have / Feature request wäre eine Anbindung vom IDS/IPS der UTM an die SIEM Schnittstelle, sodass andere System wie zB OpenVAS derartige Events auch mitbekommen
Unabhängig davon:
Selbst wenn du es "mitbekommst", bringt dir hier erst wieder ein EDR und ein Vulnerability-System etwas, um auch das Endgerät vom Netz automatisiert zu entkoppeln, denke ich...