Hej,
Mam postawiony Virtual Defence Center i dodane do niego firewalle z licencjami Control i Protection. Mam wgraną najnowszą bazę Geolocation i politykę, które matchuje any source i any destination. Widzę, że system wykrywa aplikacje, OS, protokoły itd. ale w zakładce Geolocation jest wieczne "no data". Skończyły mi się trochę pomysły co może być nie tak a manual póki co mało pomocny.
Drugie pytanie to jak przetestować czy jakiś typ ataku jest blokowany, czy alerty działają dobrze itp? W tradycyjnym IPS były sygnatury na ping i wystarczyło je uaktywnić by sprawdzić czy eventy się generują i są blokowane zgodnie z polityką. Widzę w Intrusion Policy parę polityk odnoszących się do ICMP jest, mógłbym stworzyć własną dt. czystego pinga (o ile takiej nie ma) choć może jest jakieś inne best practice w testowaniu poprawności działania rozwiązania?
Pozdrawiam,
FireSIGHT Virtual Defence Center i brak geolokalizacji
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
FireSIGHT Virtual Defence Center i brak geolokalizacji
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Michał, przeczytaj początek mojego drugiego zdania
Wygląda na to, że statystyki się nie generują gdyż np w summary hostów generujących połączenia widzę flagi
Wygląda na to, że statystyki się nie generują gdyż np w summary hostów generujących połączenia widzę flagi
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Mega skrót myślowy to ostatnie zdanie, czytałem je z 10 razy:D
A jak klikasz np. w connection events w flagę przy IP to się okienko z geo-szczegółami otwiera?
Co do testowania, ja ( widziałem to na jakimś video ) włączam sygnaturę 1:409 i testuję npingiem wpisując błędny kod dla echo reply. Tylko trzeba inspekcję icmp na asie wyłączyć...
Trudno tu chyba best practice wskazać.
A jak klikasz np. w connection events w flagę przy IP to się okienko z geo-szczegółami otwiera?
Co do testowania, ja ( widziałem to na jakimś video ) włączam sygnaturę 1:409 i testuję npingiem wpisując błędny kod dla echo reply. Tylko trzeba inspekcję icmp na asie wyłączyć...
Trudno tu chyba best practice wskazać.
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
@eljot - nie sprawdzałem, spojrzę w poniedziałek. Trochę brakuje mi dobrych guide-ów do tego, choć instrukcja jak ma się czas rzeczywiście wczytywać w szczegóły może i nie będzie najgorsza. Na razie przestawiłem w tryb bypass dopóki to w produkcję nie wejdzie wiec może rozgryzę to jeszcze trochę jak będzie czas
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Sprawdziłem i się otwiera, więc wygląda jakby był tylko problem z dashboard :/
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"