Não entenda todos os avisos do IPS como falsos positivos. Entenda melhor como responder nessas situações.

Para iniciarmos o assunto e entendermos as melhores práticas para responder a falsos positivos do IPS, imagine a seguinte situação.

O Sistema de prevenção a invasão (Intrusion Prevention System – IPS) de um cliente SEP14 está sendo ativado pelo tráfego de um site que o usuário acredita ser seguro, ou algum evento inesperado de IPS estão sendo detectado a partir de um cliente SEP.

Solução para os falsos positivos do IPS

Não entenda que os eventos inesperados são falsos positivos. Os sites legítimos e os webservers internos voltados para o público podem ter sido comprometidos por um invasor para espalhar malware. Propagandas maliciosas nas páginas também podem estar tentando redirecionar os visitantes para um site que hospeda um download para navegadores vulneráveis. Além disso, o malware que ainda não é identificado pelo antivírus do SEP pode estar ativo em um computador. mas graças aos eventos IPS que bloqueiam seu tráfego mal-intencionado, o malware será localizado e você será informado que uma infecção está presente. Considere todos os eventos IPS com cuidado e execute uma Análise de Ameaças em qualquer computador que esteja desencadeando um evento “System Infected” do IPS.

Caso o evento IPS acredite-se ser um Falso Positivo, siga esses passos:

PASSO 1

Certifique-se de que o cliente SEP tenha as últimas definições de IPS disponíveis. Execute o LiveUpdate ou compare se a “Network Threat Protection” do cliente está com as últimas atualizações de segurança listadas.

PASSO 2

Observe se a invasão é de entrada ou de saída. Então anote o IP de origem e o de destino (ou domínio). Anote também o número exato do evento IPS e o nome.

PASSO 3

E se o evento IPS ocorrer ao simplesmente acessar um site público? Copie a URL e os detalhes necessários para reproduzir o problema.

PASSO 4

Caso contrário, usando Wireshark, TCPDump ou outra ferramenta de captura de pacotes, coloque esse domínio na whitelist ou desative essa assinatura IPS, então registre o tráfego que desencadeia o evento IPS. Um vídeo que demonstra como capturar o tráfego de rede está disponível, basta clicar aqui. Certifique-se de habilitar essa assinatura IPS imediatamente após o tráfego ser coletado!

PASSO 5

Forneça a URL e os detalhes (de 3 para cima) ou o .pcap (captura de pacotes) para o site de falso positivo da Symantec. Certifique-se de especificar que esta é uma detecção IPS (“Network Intrusion Detection”), em vez de uma suspeita em um arquivo falso positivo.

Enquanto o falso positivo relatado está sendo investigado, é possível que os administradores desativem temporariamente a assinatura. Isso deverá ser feito somente se eles estiverem extremamente confiantes de que este é um falso positivo e o evento IPS está interrompendo os processos de negócios cruciais. Aplique essas exclusões com grande cautela.

Veja a sessão “What if I want to submit a file that I believe is being falsely detected?” do post How to Use the Web Submission Process to Submit Suspicious Files para mais informações.

Talvez você esteja se perguntando se essa funcionalidade dentro do SEP 14 é realmente importante. Pensando nisso, fizemos um post explicando porque o IPS é uma arma muito importante para sua segurança. Clique aqui e entenda melhor.

Continua com duvidas, quer enviar uma sugestão, encontrou um erro ou algo que pode ser melhorado? Fale conosco através do [email protected].

Gostou? Curte, comenta, compartilha e deixa um recado para o nosso time aqui nos comentários abaixo!

O conteúdo acima foi traduzido do Blog da própria Symantec, um dos maiores desenvolvedores de segurança da informação do mundo. Para acessar a o post em inglês, basta clicar aqui.

[wp-review id=”11070″]