Manchmal muss man Kompromisse finden, so am Beispiel des “Umgehenden E-Mail Berichts” des Alerting Centers einer Securepoint UTM.
Grundsätzlich ist es gut, über relevante Ereignisse sofort informiert zu werden, aber ob das in jedem Fall sein muss, sollte geklärt sein. Im Alterting Center kann man sowohl umgehende als auch regelmäßige Berichte per E-Mail konfigurieren. Bei Ersteren wird man sofort über verschiedene Ereignisse informiert. Das bedeutet dann in der Voreinstellung allerdings auch, das man über jeden Treffer des IDS / IPS sofort eine Nachricht erhält, das können in sehr kurzer Zeit sehr viele Meldungen sein.
Ein Beispiel: Bei einer frisch installierten UTM und gerade aktivierten umgehenden Alerting Center-Berichten kamen innerhalb einer Minute bereits drei Meldungen per E-Mail rein. Die nächste Nachricht war dann gerade mal sieben Minuten später. Über einen Tag betrachtet und je nachdem was für Dienste oder Ports zum Internet hin freigegeben sind können sehr viele Alarme eingehen. Das ist wenig hilfreich, zumal die Info über jede blockierte Verbindung nicht wirklich interessant ist. Der Vollständigkeit halber: Wir stellen das IDS /IPS immer auf “Verbindung protokollieren und blockieren: Ja”.
Um nun die “Meldungs-Flut” zu reduzieren nehmen wir i.d.R. beim “UMGEHENDER E-MAIL BERICHT” im Feld “Benachrichtigungstypen” den “Level 8 – Alarm” raus.
Wie hat Dir der Artikel gefallen ?
(Bislang keine Stimmen erhalten.)
Loading...
Du möchtest den Blog unterstützen ?
Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Schreibe einen Kommentar