Bùi Nguyễn Hoàng Long
VnPro

I. Mô tả:
Tạo một Signature tùy chọn để kiểm tra sự vi phạm khi một gói HTTP có chứa từ “attack” trong URI.
Khi vi phạm xảy ra hành động là Produce Alert và Deny Attacker Service Pair Inline
II. Cấu hình
Đảm bảo cổng Monitoring được Enable và gán vào Virtual Sensor



Trong Signature Definitions chọn Custom Signature Wizard để thực hiện tạo mới Signature



Chọn Signature Engine mà Custom Signature thuộc





Định nghĩa Custom Signature với Signature ID và Signature Name



Xác định tham số cho Custom Signature



Xác định mức độ tin cậy và mức độ ảnh hưởng của Custom Signature



Chọn Advanced, để tùy chỉnh những tham số cảnh báo


Xác định Event Count và Event Interval (có ý nghĩa khi giá trị Event Count lớn hơn 1)


Cảnh báo sẽ được tạo tương ứng với mỗi sự vi phạm xảy ra


Chọn Finish để kết thúc quá trình định nghĩa Custom Signature

Chọn Yes để thực hiện tạo Custom Signature


Custom Signature sau khi được tạo




Thực hiện kiểm tra họat động của Custom Signature


Cảnh báo được tạo tương ứng với sự vi phạm


Thông tin chi tiết của cảnh báo


Danh sách địa chỉ và dịch vụ bị Deny



Cho đến khi khoảng thời gian thời gian bị Deny phụ thuộc vào giá trị được xác định trong Deny Attacker Duration