Olá, > Pessoal, > Estou tendo problema com muitos Falsos positivos do IDS Snort, alguém sabe > como faço para diminuir estes falsos positivos???? > Existe alguma ferramenta onde eu faça analise deste falsos ou diminua ?
Primeiro você vai ter que entender o IDS. Segundo, se são falso-positivos, verifique qual regra está gerando o falso-positivo, desabilite ou modifique-a para atender a sua necessidade. Utilize o BASE para analise dos eventos. http://secureideas.sourceforge.net/ Instalar um IDS não é uma tarefa simples, você tem que adequar as suas necessidades. No conjunto de regras que vem com o Snort, existem muitas que são apenas informativos, que não descrevem ataques mas sim, problemas de configuração na rede (acessos via SNMP com comunidade public, por exemplo). Outro exemplo, se você tem um servidor web apache, e anda recebendo alertas de ataque ao IIS (acessos ao cmd.exe, default.ida...), você pode encarar como falso-positivos, pois você não tem um servidor IIS na sua rede. Então você pode desabilitar essas regras. Só não pode esquecer de habilitar novamente caso você coloque um servidor IIS na rede. Inscreva-se na lista Snort-br: http://listas.cipsga.org.br/cgi-bin/mailman/listinfo/snort-ids E veja o site do grupo: http://snort.linuxsecurity.com.br -- Abraço! Alejandro Flores http://www.triforsec.com.br/ --------------------------------------------------------------------------- Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utilização da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
