One Article Review
| Source |  taosecurity |
|---|---|
| Identifiant | 8596163 |
| Date de publication | 2024-10-11 13:38:12 (vue: 2024-10-11 18:17:52) |
| Titre | Que sont les utilisateurs normaux censés faire avec les alertes IDS de l'équipement du réseau? What Are Normal Users Supposed to Do with IDS Alerts from Network Gear? |
| Texte | Probablement une fois par semaine, je vois des articles comme celui-ci dans le r / ubiquiti subdreddit.Ubiquiti fabrique un équipement réseau qui comprend une fonctionnalité "IDS / IPS".Je possède du matériel Ubiquiti plus ancien, donc je connais le produit. Lorsque vous activez cette fonctionnalité, vous obtenez des alertes comme celle-ci, publiées par un redditor:  Réponse pour gérer ces alertes. & nbsp; == Ceci est un autre exemple de ce type d'alerte étant presque sans valeur pour la plupart des utilisateurs. La clé essaie de comprendre ce qui aurait pu provoquer le déclenchement de l'alerte.Les cves, peu importe, ne sont pas pertinents à ce stade. Voici une façon d'avoir une idée de ce qui se passe. aller à https://rules.emergingtheats.net/open/suricata-7.0.3/rules/ Téléchargez le fichier nommé comme la première partie de l'alerte.Ici, c'est l'exploit. https: // règles.EmergingThériques.net / Open / SURICATA-7.0.3 / Règles / Emerging-Exploit.rules Trouvez la règle tirée.Cela peut prendre un peu de fouille.Voici ce que j'ai fini par faire. grep -i possible émergent-exploit.rules |grep -i log4j |Grep -i Obfuscation |grep -i udp |grep -i sortbound voilà. alert udp $ home_net tout-> n'importe quel (msg: "ET exploiter possible Apache log4j rce tentative - 2021/12/12 Obfusccation observée M2 (UDP) (sortant) (CVE-2021-44228)"; Contenu: "| 24 7B |"; Contenu:"| 24 7b 3a 3a |";Dans: 100;fast_pattern;Référence: CVE, 2021-44228;CLASSTYPE: Tentative d'admin;Sid: 2034805;Rev: 3;Metadata: attaque_target Server, créé_at 2021_12_18, CVE CVE_2021_44228, périmètre de déploiement, déploiement interne, signature_seveRity Major, Tag Exploit, Updated_AT 2023_06_05, MIRE_TACTIC_ID TA0001, MIRE_TACTIC_NAME INITIAL_ACCESS, MITRE_TECHNIQUE_ID T1190, MIRE_TECHNIQUE_NAME EXPLOIT_PUBLICE_FACE_APLICATION;) |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | $home == ==this the 100 1998 2003 2020 2021 2021/12/12 2023 3/rules/download 3/rules/emerging 3awithin 3a| 44228 44228; 7bfollowed 7b| about access admin; alert alerts almost another answer any anynow anything anywhere apache application; are attempt being bejtlich better beyond blogspot book bytes can case caused chance check classtype:attempted com compromise concerned contain content: copyright could created cve cves data decent deployment detection digging doing emerging emergingthreats enable enabling ended even everything evidence example explanations exploit exploration facing familiar fast feature feeble feel file fired first free from future gear get good grep guess guessing handle happen happening have here here:content: here:udp home how https://rules idea ids ids/ips ignore includes initial internal internet intrusion irrelevant itself key least like likely log4j luck major makes may metadata:attack might mitre monitoring most msg: name named net net/open/suricata network next normal obfuscation observed older once one open other out outbound outboundhere own part pattern; perimeter please point ports possible posted posts probably problem product promoted public r/ubiquiti random rce redditor redditor:this reference:cve rev:3; richard rule rules rulesfind security see server set severity sid:2034805; signature since some someone sort string24 subreddit subtitled supporting supposed system t1190 ta0001 tactic tag take taosecurity target technique thankfully there therefore these think tohttps://rules traffic trigger trying ubiquiti udp understand understanding updated users using vendor want way week what whatever when why within:100; within:100and without worthless written www your |24 |
| Tags | Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.