FireSIGHT Virtual Defence Center i brak geolokalizacji

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4936
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

FireSIGHT Virtual Defence Center i brak geolokalizacji

#1

#1 Post autor: peper »

Hej,

Mam postawiony Virtual Defence Center i dodane do niego firewalle z licencjami Control i Protection. Mam wgraną najnowszą bazę Geolocation i politykę, które matchuje any source i any destination. Widzę, że system wykrywa aplikacje, OS, protokoły itd. ale w zakładce Geolocation jest wieczne "no data". Skończyły mi się trochę pomysły co może być nie tak a manual póki co mało pomocny.

Drugie pytanie to jak przetestować czy jakiś typ ataku jest blokowany, czy alerty działają dobrze itp? W tradycyjnym IPS były sygnatury na ping i wystarczyło je uaktywnić by sprawdzić czy eventy się generują i są blokowane zgodnie z polityką. Widzę w Intrusion Policy parę polityk odnoszących się do ICMP jest, mógłbym stworzyć własną dt. czystego pinga (o ile takiej nie ma) choć może jest jakieś inne best practice w testowaniu poprawności działania rozwiązania?

Pozdrawiam,
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

#2

#2 Post autor: michaliwanczuk »

takie głupie pytanie - czy wykonałeś upgrade geolokalizacji ?
Michał

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4936
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#3

#3 Post autor: peper »

Michał, przeczytaj początek mojego drugiego zdania

Wygląda na to, że statystyki się nie generują gdyż np w summary hostów generujących połączenia widzę flagi
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

eljot
wannabe
wannabe
Posty: 67
Rejestracja: 27 sty 2012, 12:37

#4

#4 Post autor: eljot »

Mega skrót myślowy to ostatnie zdanie, czytałem je z 10 razy:D

A jak klikasz np. w connection events w flagę przy IP to się okienko z geo-szczegółami otwiera?
Co do testowania, ja ( widziałem to na jakimś video ) włączam sygnaturę 1:409 i testuję npingiem wpisując błędny kod dla echo reply. Tylko trzeba inspekcję icmp na asie wyłączyć...
Trudno tu chyba best practice wskazać.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4936
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#5

#5 Post autor: peper »

@eljot - nie sprawdzałem, spojrzę w poniedziałek. Trochę brakuje mi dobrych guide-ów do tego, choć instrukcja jak ma się czas rzeczywiście wczytywać w szczegóły może i nie będzie najgorsza. Na razie przestawiłem w tryb bypass dopóki to w produkcję nie wejdzie wiec może rozgryzę to jeszcze trochę jak będzie czas :P
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4936
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

#6

#6 Post autor: peper »

Sprawdziłem i się otwiera, więc wygląda jakby był tylko problem z dashboard :/
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

ODPOWIEDZ