Question & Answer
Question
QRadar Network Security (XGS) と Security Network IPS (GX) で、SMTP_Command_Binary_Overflow シグネチャーにより大量のイベントが発生するのはなぜですか?
Answer
SMTP_Command_Binary_Overflow シグネチャーは、32 文字を超え、不正な文字 ( 127 文字を超えるまたは、32 文字未満の ASCII コード) を含むコマンドの使用を検出します。これは、攻撃者がシステム上のバッファをオーバーフローさせようとした可能性があることを示しています。
このシグネチャーが大量のイベントを生成する 2 つの一般的な原因は以下のとおりです。
- 非対称ルーティング
センサーがネットワーク上のやりとりを完全に監視できていない場合、非対称ルーティングによってこのシグネチャーが頻繁に検知する可能性があります。非対称ルーティングの問題を回避するには、センサーが全てのコネクションを認識していることを確認する必要があります。このトピックの詳細については、次の URL を参照してください。
Technote 1436179: Impact of asymmetric traffic being analyzed by a GX series IPS.
- Exchange サーバーのクラスター化
独自の形式で相互に情報を送信する場合、Exchange Server クラスタによってこのシグネチャーで頻繁に検知することがあります。 Exchange Server の問題を回避するには、Event Filter (XGS) または Response Filter (GX) を作成して、このシグネチャーについてこれらのサーバーからのトラフィックを無視する必要があります。
Related Information
[{"Product":{"code":"SSFSVP","label":"IBM QRadar Network Security"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Protocol Analysis Module (PAM)","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}},{"Product":{"code":"SS9SBT","label":"Proventia Network Intrusion Prevention System"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Protocol Analysis Module (PAM)","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}},{"Product":{"code":"SSHLHV","label":"IBM Security Network Protection"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Component":"Protocol Analysis Module (PAM)","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"Version Independent","Edition":"","Line of Business":{"code":"LOB24","label":"Security Software"}}]
Was this topic helpful?
Document Information
Modified date:
24 January 2021
UID
ibm10729407