INTRUSION DETECTION AND MONITORING
Maintaining Internet gateway security requires ongoing and comprehensive system operation, support and surveillance to oversee the prevention, detection, response and escalation of any irregular, abnormal or suspicious activities or incidents. This can be achieved by proper manual procedures such as reviewing and analysing log or statistics, and testing the incident handling procedures.
If possible, IDS/IPS tools should be installed and used at strategic locations to collect and examine information continuously for suspicious activity. Both network based and host based IDS/IPS tools could be used.
侵入検出とモニタリング
インターネット・ゲートウェイ・セキュリティを維持するには、あらゆる不規則、異常、または疑わしい活動または事象の、防止、検知、および反応ならびに段階的拡大を監視する、継続的、かつ広範囲のシステム運用、サポート、および監視が求められます。これは、適正な手作業によって達成することができ、そうした作業には、ログや統計の点検と分析、およびそうした事象を取り扱う手順のテストがあります。
できれば、IDS/IPSツールを、疑わしい動きがないか継続的に情報を集め、調べるため、戦略的拠点にインストールし、使用するべきです。ネットワーク・ベースとホスト・ベースのIDS/IPSツールが、ともに有用です。
The former type examines network packets in the network while the latter one monitors the system configuration and application activities on a single host system.
Improper configuration and use of these tools may disclose information to attackers and result in a false sense of security.
• IDS/IPS tools should be used to identify suspicious activities on both the network and the host machines, in particular the web server and the mail server.
• Automatic generation of notifications or alerts by electronic messages or mobile paging should be set up to warn system administrators when symptoms of attacks are detected.
前者のタイプはネットワーク内でネットワーク・パケットを調べ、一方、後者は一つのホストシステム上のシステム構成とアプリケーション活動をモニターします。
これらのツールの不適正な設定や使用は、情報を攻撃者に明らかにし、間違った安心感に終わる可能性があります。
• IDS/IPSツールが、ネットワークとホスト・マシンの両方、特にウェブサーバとメール・サーバー上のを疑わしい動きを特定するために用いられなければなりません。
• 攻撃の徴候が検出された場合に、システム管理者に警告するため、電子メッセージまたはモバイル・ページングによる通知、または警報の自動生成のセットアップをしておくべきです。
• If applicable, systems or functions capable of reacting to suspicious network activity should be implemented to disconnect or block these connections in the first place and record them for subsequent analysis.
• These tools should be properly tested and verified before going operation.
• The use, administration and management of these tools should
be properly controlled and restricted.
• Firewall system should be properly configured to protect and hide such tools as far as possible.
• The attack signature files should be kept up-to-date.
• Proper operating, administrative and monitoring procedures should be established for using these tools.
• 適用できるなら、疑わしいネットワーク活動に反応できるシステムまたは機能を実装し、まず、これらの接続を遮断するかブロックし、以降の分析のためにそれらを記録することをすべきです。
• これらのツールは、運用の前に、適正にテストされ、点検されなければなりません。
• これらのツールの使用、管理、および操作は、適正にコントロールされ、制限されなければなりません。
• ファイアウォール・システムは、適正に設定され、できる限りそのようなツールを保護し、隠すようにしなければなりません。
• 攻撃シグナチャー・ファイルは、最新の情報にしておかれなければなりません。
• 適正な操作、管理、およびモニター手順を、これらのツールを使用するに当たって、確立するべきです。