Tweet
Khi xây dựng một chính sách phát hiện xâm nhập (Intrusion Policy) tùy chỉnh, anh em cần nắm rõ các bước và nguyên tắc cơ bản sau:
1. Chọn Base Policy
2. Cấu hình Drop Behavior (Drop when Inline)
3. Quản lý trạng thái Rule trong Rules Pane
🔑 Lời khuyên thực chiến
1. Chọn Base Policy
- Đầu tiên, bạn phải đặt tên cho policy và chọn một chính sách IPS mặc định (system-provided IPS policy) làm nền tảng.
- Base policy này thường được Cisco Talos tinh chỉnh sẵn để phù hợp với nhiều môi trường khác nhau. Từ đó, bạn có thể tinh chỉnh (tune) thêm để phù hợp với hệ thống thực tế.
2. Cấu hình Drop Behavior (Drop when Inline)
- Drop when Inline xác định cách hệ thống xử lý các rule có trạng thái Drop and Generate Events.
- Trong inline mode, bạn có thể bật chế độ này để chặn (drop) gói tin độc hại ngay khi phát hiện.
- Trong passive mode, IPS chỉ giám sát và tạo cảnh báo, không thể chặn traffic kể cả khi bật Drop Behavior.
3. Quản lý trạng thái Rule trong Rules Pane
- Mỗi intrusion rule có thể được chỉnh về các trạng thái như:
- Disabled: vô hiệu hóa rule.
- Generate Events: chỉ log lại sự kiện, không chặn.
- Drop and Generate Events: vừa log vừa chặn (khi inline).
- Kỹ sư SOC hoặc Network Security Engineer thường sẽ tinh chỉnh rule set để giảm false positive, đồng thời tối ưu hiệu năng hệ thống.
🔑 Lời khuyên thực chiến
- Khi mới triển khai, nên chạy policy ở Monitor Mode (Generate Events) để quan sát hành vi và tránh làm gián đoạn traffic hợp lệ.
- Sau khi phân tích log, có thể dần dần chuyển các rule critical sang chế độ Drop.
- Luôn dựa vào context môi trường (dịch vụ, ứng dụng, người dùng) để tune policy, tránh việc bật toàn bộ rule gây quá tải hệ thống.
Attached Files