Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

A lot of IPS false positives.

Coder68
I am seeing a large number of false positives from the IPS. 

Here is one that claims I downloaded a scrensaver from Sophos. I only downloaded the ISO and one update. Maybe a pattern or two...

https://www.threatcrowd.org/ip.php?ip=208.111.171.148



This one is FROM the internal IP of my UTM.



I suspect this is also a false positive. I will check it out tomorrow with some threat intel feeds and tools we have at work. 



Is there anyway to view the packets or the actual triggers of these events? 

I am looking into building a Security Onion box for this, but that has not happened yet.

Is there anyway to tweak the rules, other then turning off the IPS or a rule.

Are we ever going to be able to add/create rules for the IPS - or add other feeds?

Thanks,

C68


This thread was automatically locked due to age.
  • 0
    Is there anyway to view the packets or the actual triggers of these events? 
    Only if you were running a packet capture at the time it happened.  For specifics about what a particular rule is looking for, you need to do some Snort research, as that's what UTM uses for IPS.  An example would be 19187 in your screenshot above.  Information can be found at https://www.snort.org/rule_docs/3-19187, CVE at https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-1889, and you can download Snort rulsets and view the exact pattern that a rule is looking for.

    Is there anyway to tweak the rules, other then turning off the IPS or a rule.
    You can create exceptions, but not by rule.  By rule, you can disable the rule, disable notifications, or switch the action between alert and drop.  These are easy to understand by just looking at the options in the WebAdmin interface.

    Are we ever going to be able to add/create rules for the IPS - or add other feeds
    Not anytime in the foreseeable future in the UTM itself.  Neither of these is a currently accepted or being reviewed feature.  As mentioned earlier, UTM IPS uses Snort and the free (community) Snort rulesets.  You can join, participate, and submit new rules for inclusion on the Snort Dev list (https://www.snort.org/community).  If accepted for the community rules, they'll make it into UTM.
  • 0
    Thanks Scott.

    Is it common for Snort to be this noisy with FP's?

    Thanks, 

    C68
  • 0
    Well, the rule will be triggered every time the trigger happens, there's no limiter, so it can be very noisy if it's triggering on common traffic patterns.  If you know it's a false positive, you can disable the rule or just disable notifications for the rule.
  • 0
    I disabled the rule. I sure has heck hope that my UTM is Not trying to exploit my PC!

    Thanks Scott,

    C68