Comprar ou Renovar
Comprar ou Renovar
cancelar
Activar sugestões
A sugestão automática ajuda-o a especificar os resultados de pesquisa sugerindo-lhe correspondências enquanto escreve.
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
cancel
Iniciar uma conversa
1226
Apresentações
0
Útil
4
Respostas

Melhores Práticas para habilitação ips (Firepower).

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-29-2021 02:33 AM

Oi pessoal.

Onde posso encontrar um bom recurso detalhando as melhores práticas quando se trata de inspeção IPS habilitada em regras de acesso. Então, em outras palavras, quais regras devem ser sempre habilitadas para inspeção/aplicação de IPS (inbound, web server, sql access rules)? Eu não fui capaz de encontrar um recurso da Cisco sobre isso. Isso será para o poder de fogo principalmente.

Saudações
Adam

0 Útil
1 Soluções Aceita

Soluções aceites

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-29-2021 02:34 AM

Sem problemas

Se o post respondeu à sua pergunta, você poderia selecioná-la como uma resposta correta.

Obrigado.

Ver solução na publicação original

0 Útil
4 RESPOSTAS 4

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-29-2021 02:33 AM

Olá Adam,

Eu não acho que há um documento descrevendo isso em detalhes, porque
varia por ambiente. A abordagem certa é permitir a descoberta apenas para
em algum momento para que o FTD construa contexto sobre seu ambiente (aplicativos,
hosts tipos, versões do SO, etc). Uma vez feito isso, você pode agendar IPS
recomendações a serem executadas diariamente e aplicadas. As recomendações de
O IPS será baseado nas impressões digitais feitas durante a descoberta.

Agora, isso não é 100% tomado que todas as recomendações são válidas. Mas pode
ser uma linha de base para o engenheiro revisar os logs IPS periodicamente e ver
se houver falsos positivos ou mais ajustes a serem feitos para regras.

Este é um resumo rápido, mas uma vez que você começar o processo, você vai ter mais
perguntas que geram diferentes estratégias adequadas ao seu ambiente.

por favor, lembre-se de classificar posts úteis
0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-29-2021 02:34 AM

Ao habilitar o IPS, usei a seguinte regra geral: "Habilite o IPS em todas as regras, exceto aquelas que vão de LAN local para internet."

Desativar o IPS em regras que estão entre bancos de dados, que seriam tipos de tráfego como backups, sincronização de sites de DR, UMBRELLA VA para DNS interno, etc.

Idealmente você já teria controle de acesso baseado em porta (por exemplo. SGT usando ISE ou similar) restringindo o acesso entre máquinas host e sub-redes internas de LAN. Neste caso, o IPS sobre regras entre sub-redes host não seria necessário, mas ainda é bom ter caso algum, há uma configuração errada. Mas dos anfitriões para todos os servidores internos é, na minha opinião, uma obrigação.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager

em ‎09-29-2021 02:34 AM

Obrigado, pessoal.

0 Útil

Ir para a Solução
Translator
Community Manager
Community Manager
Em resposta a Translator

em ‎09-29-2021 02:34 AM

Sem problemas

Se o post respondeu à sua pergunta, você poderia selecioná-la como uma resposta correta.

Obrigado.

0 Útil

Quick links

Navegue pelos links rápidos da Comunidade e usufrua de um conteúdo personalizado e em seu idioma nativo:

Vídeo dos últimos eventos Ajuda sobre a Comunidade Blogs de Segurança
Customers Also Viewed These Support Documents