Cisco MARS - Tuning via confirmation de faux positif

Soumis par francois ropert le mar, 10/30/2007 - 11:06.

Un peu de tuning CS-MARS ça te tente ?

Les logs remontés au boîtier MARS ne sont pas toujours de true positive.

Par exemple lors d'une attaque typiquement Windows NT4 et patchée depuis longtemps sur un Windows XP. Mais l'attaquant qui est un peu boulet sur les bords ou un bot qui ne fait pas d'OS fingerprinting tente quand même car "on sait jamais ..."

Voici comment déclarer un type d'attaque comme faux positif sur un certain type d'équipement:

Cliquer ici pour voir comment faire

‹ Cisco MARS - Statistiques des faux positifshautCisco CSA tips ›

... et un peut de pub pour payer l'hébergement ;)