Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Попытка вторжения., UniFi Network
 
#1
29.04.2025 18:19:00
Получил уведомление о попытке вторжения и пытаюсь разобраться, нужно ли это дальше проверять. Прикрепил скриншот попытки и окошко с расширенной информацией. Посмотрел на компьютер пользователя и не нашёл, куда они кликали или на какие подозрительные страницы заходили. Судя по истории браузера, они даже не пользовались интернетом в момент этой попытки. Сетевой трафик в это время и после него для устройства выглядит нормальным. Буду признателен за любую помощь в этом вопросе.
 
 
 
#2
29.04.2025 20:26:00
Ну ладно, если это IDS, то действуй сам. А если это IPS, то должно быть заблокировано автоматически.
 
 
 
#3
29.04.2025 19:35:00
Спасибо, @dlow, я так и думал. Спасибо за ответ!
 
 
 
#4
29.04.2025 19:31:00
Если ты открыл этот порт, я удивлён, что система обнаружила только один. Ожидай горы подобных, особенно если открыл его для NAS. Совет? VPN и закрой всё.
 
 
 
#5
29.04.2025 19:24:00
Вот в чем проблема с IDS/IPS. Сработал – и что дальше? IDS/IPS должен быть лишь частью более широкого решения в области безопасности. Прилепить спойлер болида Формулы-1 на "Сивик" не превратит его в болид Формулы-1. Но есть куча компаний, готовых продать вам такой спойлер, чего уж там.

Это, пожалуй, самый глубокий уровень, на котором можно опуститься. Следите за любыми признаками вторжения. Обычно на всем вашем оборудовании установлены агенты безопасности. Как только IDS/IPS что-то отмечает, агент запускает дамп по сути дела, чтобы выяснить, какое ПО обращалось к какому IP:Port, когда.

Вы могли бы проанализировать эти дампы, чтобы понять, представляет ли это собой реальную угрозу. Агенты вроде того печально известного CrowdStrike, который сломал Windows-машины обновлением, – это как раз те агенты, которые помогли бы вам копнуть глубже, как только IDS/IPS что-то заметит.
 
 
 
#6
29.04.2025 18:21:00
Привет и добро пожаловать на форум! Когда выкладываешь скриншоты, пожалуйста, используй иконку "Изображения". Ты говоришь "вторжение", и это заставляет меня думать, что речь идет о WAN-стороне.
 
 
 
Страницы: 1
Читают тему (гостей: 1)