普通用户该如何处理网络设备的IDS警报？

可能每周我都会在r/Ubiquiti子论坛上看到类似的帖子。Ubiquiti生产的网络设备带有"IDS/IPS"功能。我拥有一些较旧的Ubiquiti设备，因此对这款产品很熟悉。

当你启用此功能时，会收到像这样的警报（由一位Reddit用户发布）：这是你从Ubiquiti获得的所有信息。这位Reddit用户担心他们的系统可能试图攻击互联网上的某人。

以下是我对如何处理这些警报的回答。

== 这是另一个例子，说明这类警报对大多数用户来说几乎毫无价值。

关键是要理解什么可能触发了这个警报。此时，CVE等信息都无关紧要。

这里有一种方法可以大致了解发生了什么：

访问 https://rules.emergingthreats.net/open/suricata-7.0.3/rules/

下载以警报第一部分命名的文件。这里就是EXPLOIT。 https://rules.emergingthreats.net/open/suricata-7.0.3/rules/emerging-exploit.rules

找到触发的规则。这可能需要一些挖掘。以下是我最终的做法：

1

grep -i possible emerging-exploit.rules | grep -i log4j | grep -i obfuscation | grep -i udp | grep -i outbound

这就是找到的规则：

1

alert udp $HOME_NET any -> any any (msg:"ET EXPLOIT Possible Apache log4j RCE Attempt - 2021/12/12 Obfuscation Observed M2 (udp) (Outbound) (CVE-2021-44228)"; content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100; fast_pattern; reference:cve,2021-44228; classtype:attempted-admin; sid:2034805; rev:3; metadata:attack_target Server, created_at 2021_12_18, cve CVE_2021_44228, deployment Perimeter, deployment Internal, signature_severity Major, tag Exploit, updated_at 2023_06_05, mitre_tactic_id TA0001, mitre_tactic_name Initial_Access, mitre_technique_id T1190, mitre_technique_name Exploit_Public_Facing_Application;)

你可以忽略其中90%的内容。关键在这里：

1

content:"|24 7b|"; content:"|24 7b 3a 3a|"; within:100

和这里：

1

udp $HOME_NET any -> any any

现在，你必须猜测在你的家庭网络中，任何UDP流量到任何地方、任何端口，包含这个字符串

1

24 7b

后跟这个字符串

1

24 7b 3a 3a

在接下来的100字节内的可能性有多大？

我猜测在随机的正常流量中，这种情况有相当大的概率会发生。

因此，在没有其他证据的情况下，我认为你可以忽略这个警报。

如果你希望将来能更好地理解这类问题，请随时查阅我写的任何关于网络安全监控的内容。祝你好运！

这个问题正是为什么我自1998年以来一直推广网络安全监控，并将我的第一本书副标题定为"超越入侵检测"。网络入侵检测本身，如果没有支持数据，甚至没有规则解释，几乎毫无价值。

幸运的是，在这种情况下，供应商至少使用了开放的规则集，使得这种微弱的探索成为可能。

如何有效处理网络设备IDS警报：实用技术指南

本文深入分析Ubiquiti网络设备IDS警报的局限性，详细演示如何通过Suricata规则解析警报内容，并提供实用的网络安全管理建议，帮助普通用户正确理解并处理安全警报。

普通用户该如何处理网络设备的IDS警报？