Tweet
Trong hệ thống Cisco Secure Firewall, khi có một cuộc tấn công hoặc hành vi khả nghi xảy ra, thiết bị Threat Defense sẽ tạo ra một Intrusion Event (sự kiện xâm nhập). Đây là “dấu vết” cực kỳ quan trọng trong công tác giám sát và phản ứng sự cố của SOC.
🔎 IPS Event ghi lại những gì?
Nếu traffic tấn công kích hoạt Snort rules, sự kiện sẽ hiển thị trong FMC qua menu:
👉 Analysis > Intrusions > Events.
Điểm hay là với packet-based events, hệ thống còn lưu bản sao gói tin đã kích hoạt sự kiện. Điều này giúp SOC analyst có thể mổ xẻ tận gói tin, phân tích IOC (Indicator of Compromise), và hiểu chính xác cách thức attacker khai thác.
Tất cả dữ liệu này được gửi về Firepower Management Center (FMC) để tổng hợp, giúp chúng ta có cái nhìn toàn diện về:
Cisco cung cấp nhiều base IPS policy, nhưng policy nghiêm ngặt nhất chính là:
✅ Security over Connectivity
Nó ưu tiên bảo mật tối đa, chấp nhận việc có thể ảnh hưởng đến một số ứng dụng hoặc kết nối hợp lệ. Trong môi trường doanh nghiệp nhạy cảm (ngân hàng, chính phủ, critical infrastructure), đây thường là lựa chọn hàng đầu để giảm thiểu rủi ro.
🎯 Thông điệp cho anh em SOC/Network Engineer:
Nắm chắc cách phân tích IPS Events không chỉ giúp phát hiện kịp thời, mà còn hỗ trợ trong việc fine-tune chính sách IPS, cân bằng giữa Security vs Connectivity tùy theo nhu cầu doanh nghiệp.
🔎 IPS Event ghi lại những gì?
- Ngày, giờ xảy ra sự kiện.
- Loại khai thác (exploit type) bị phát hiện.
- Nguồn tấn công (attacker source) và mục tiêu (target).
Nếu traffic tấn công kích hoạt Snort rules, sự kiện sẽ hiển thị trong FMC qua menu:
👉 Analysis > Intrusions > Events.
Điểm hay là với packet-based events, hệ thống còn lưu bản sao gói tin đã kích hoạt sự kiện. Điều này giúp SOC analyst có thể mổ xẻ tận gói tin, phân tích IOC (Indicator of Compromise), và hiểu chính xác cách thức attacker khai thác.
Tất cả dữ liệu này được gửi về Firepower Management Center (FMC) để tổng hợp, giúp chúng ta có cái nhìn toàn diện về:
- Xu hướng tấn công
- Mức độ nghiêm trọng
- Các tài sản đang bị nhắm đến
Cisco cung cấp nhiều base IPS policy, nhưng policy nghiêm ngặt nhất chính là:
✅ Security over Connectivity
Nó ưu tiên bảo mật tối đa, chấp nhận việc có thể ảnh hưởng đến một số ứng dụng hoặc kết nối hợp lệ. Trong môi trường doanh nghiệp nhạy cảm (ngân hàng, chính phủ, critical infrastructure), đây thường là lựa chọn hàng đầu để giảm thiểu rủi ro.
🎯 Thông điệp cho anh em SOC/Network Engineer:
Nắm chắc cách phân tích IPS Events không chỉ giúp phát hiện kịp thời, mà còn hỗ trợ trong việc fine-tune chính sách IPS, cân bằng giữa Security vs Connectivity tùy theo nhu cầu doanh nghiệp.
Attached Files