Симптомы

Настроили профиль СОВ, который включает все сигнатуры всех уровней угрозы. Настроили с этим профилем политику СОВ, которая использует созданный профиль, политика мониторит все интерфейсы, все IP адреса, настроена только на журналирование. За неделю в журнале СОВ не отображается ни одного False Positive события. СОВ не срабатывает. Это нормально или может быть признаком того, что настроено неверно?

Решение

Вы можете проверить работу СОВ ( IDPS IDS IPS ) следующим образом:

1) Создайте профиль СОВ, добавьте в него сигнатуру "BlackSun test".

2) Создайте правило СОВ с данным профилем, укажите внутреннюю зону источника Trusted, поместите в самый верх списка.

3) С клиентской машины из зоны Trusted выполните команду при помощи утилиты curl:

curl -A BlackSun -Lkv http://cbr.ru

4) СОВ должен среагировать на этот запрос соответствующей сигнатурой, в журналах СОВ появится запись.

5) Если после выполненного теста событий по прежнему нет, проверьте состояние модуля СОВ в cli, он должен быть включён:

В 6 версии:

device config -get module_idps_enabled

В 7 версии:

configure
show settings device

7) Проверьте вашу версию библиотеки "IDPS: Сигнатуры СОВ" в разделе Дашборд - Обновления. Если версия старая, попробуйте в разделе Настройки - Обновление библиотек - Обновления - нажать Проверить обновления. После этого проверьте по Журналу событий, чтобы обновление завершилось успешно.

Причина

Отсутствие срабатываний, в том числе и ложных, является штатным при использовании профиля сигнатур с большими уровнями угроз.