防火墙上的IPS日志肯定是需要关注的,一方面可以看到外部对内部的一些攻击,也能看到内部对外部的一些攻击,尤其是那种内网的传统病毒木马,IPS会有较好的特征识别机制。
IPS中尤其要关注,内网IP反连海外IP的情况,里面也存在大量的误报,例如远程控制软件向日葵和todesk的外联行为老是被告警出来,而迅雷P2P服务中会有很多外联海外IP的行为,被被标记为木马。
可以在收集IPS日志之后,将后门告警和木马告警单独的提出来进行分析,一定会有收获的。
另外一个就是里面的ddos策略产生的日志,针对tcp、UDP、ICMP都有检测,建议把阈值给调的高一点,例如10000 ,因为太低的话,误报太多了,影响真实的判断了反而。
转发日志和本地里面的话,多关注一下针对1433,22,445,3389,1521,3306,6379的连接行为,尤其是转发日志中的对外连接,例如445,22的扫描,针对海外的IP。
内网被入侵之后,查看防火墙相关的日志,尤其是那种有扫描行为的,日志上基本都会体现出来,特征就是扫描的IP会有好多个,一个IP在扫描很多的IP服务器,也会看到很多的阻断日志。
防火墙的日志需要去筛选,所以才有效,所以最好的办法就是基于特定的场景,直接从日志中告警出来,可以及时的应急处置。
