加强安全事件报告 充分利用IDS

入侵检测系统在过去几年有了很大的进步。几乎所有的机构都安装了入侵检测系统(IDS)，它们或者运行在网络级别，或者是运行在单机级别，并且几乎每一IDS都能自动报告不良或异常的动作，方式则是经由一个控制台以及e-mail或者寻呼。如果配置正确，IDS对于捕捉它了解的攻击事件可以工作的很好。对于安全人员来说，监视这些事件，有任何问题就向经理或网络管理员报告，的确是再普通不过了。

一旦IDS警告你某些事情正在进行，一般人的反应可能是打电话或者e-mail给一个管理员，并告知这些资料。但在你打电话或者发送那e-mail 之前，花费一分钟来琢磨一下，如何呈递资料效果最好？你需要找到一个办法来翻译这报告，使报告成为详细的信息与可行的建议，从而帮助管理员捍卫公司的网络。

举例来说，你可以这么说：“我们在查看一个来自10.100.64.10的SMB服务扫描，以及来自10.100.55.23的BitTorrent活动”。然而，当这资料看起来是对你很有用处的同时，这些信息来到准备根据你的报告采取行动的管理员面前却毫无价值。

为了真正的受益于IDS，你需要比简单向上级报告事件做得更多。你同样需要提供足够的资料，以便人们对事件作出正确反应。这里是坚实详细报告的两个事例:

例子1:
警报名称:SMB_Service_Sweep
日期:7/20/0614:02EST
源:10.100.26.73
MAC :00-12-F0-3E-BE-32
机器名:N2320-1
用户:不明用户
目的地:10.100.0.0
分析:服务扫描正在整个10.100.0.0范围内进行。这种大量的规模扫描是不常见的，并且在预先通知安全管理团队之前不应发生。
服务器信息组(SMB)服务运行在TCP端口445
推荐操作:物理定位源机器并且中止相应活动，如果没必要，停用集线器的相应端口。

例子2:
警报名称:P2P_Activity
日期:7/20/0614:04EST
源:10.200.59.180
MAC: 00-12-F0-3E-BE-12
机器名:A1320-5
用户:bad.user
目的地:10.1.0.7(代理)
分析:已经在一台内部设备上发现了Peer-to-Peer（点对点）活动。该用户可能为了共享软件而使用了BitTorrent客户端。
BitTorrent需要TCP端口6881到6999. 在本报告被观看的同时，那Bad.user用户正登录在源机器之上。
推荐:对内部网络到因特网的6881-6999TCP端口部署网络阻止，根据报告登录相应电脑,确认软件是否被安装，如果发现有安装则卸掉。

在这两个报告中，你已经提供给系统管理员: