반응형
threshold: type <limit|threshold|both>, track <by_src|by_dst>, count <c>, seconds <s>;
[두음] 리스본(Lithbo~) 까마한
limit : 이벤트까지
threshold : 이벤트마다
both : 이벤트 시 한번
threshold: type limit, track by_dst, count 10, seconds 60
목적지 IP(by_dst)를 기준으로 매 60초 동안 10번째 인벤트까지 alert 수행
threshold: type threshold, track by_dst, count 10, seconds 60
목적지 IP(by_dst)를 기준으로 매 60초 동안 10번째 인벤트마다 alert 수행
threshold: type limit, track by_dst, count 10, seconds 60
목적지 IP(by_dst)를 기준으로 매 60초 동안 10번째 인벤트 시 한번 alert 수행
아래 링크의 그림 설명을 보면 좀 더 이해가 쉬울 듯 합니다.
threshold
IDS 및 IPS의 로그는 일반적으로 방화벽보다는 더 많은 정보를 제공하기 때문에 유용하게 사용할 수 있다. 하지만 관리자 입장에서 기록은 되어야 하나 우선순위가 낮은 로그도 있을 수 있으며,
linefilt.tistory.com
반응형
'정보관리기술사 > 정보보안' 카테고리의 다른 글
| 드라이브 바이 다운로드(DBD), 익스플로잇(Exploit) (0) | 2024.04.06 |
|---|---|
| 64비트 리눅스 시스템 인수 저장되는 레지스터 이름 (0) | 2024.04.06 |
| 정량적 위험분석 방법 (연간 예상 손실액 계산법) (0) | 2024.03.23 |
| 위험처리 방안 / 위험대응 방안 (0) | 2023.11.05 |
| 위험 관리 / 정량적 위험 분석 (SLE / ALE) (0) | 2023.11.05 |
댓글