IPS特征库升级到1.0387,设备触发误报“威胁ID:54814”,请问请求中哪一个字符命中了?
- 0关注
- 0收藏,53浏览
问题描述:
入侵防御设备T1000的“IPS特征库”升级到1.0387后,声卡设备触发误报“威胁ID:54814”,请问请求中哪一个字符命中了?
告警详情:
payload:
\00\00\01\8c\01ActiveMQ\00\00\00\0c\01\00\00\01z\00\00\00\0c\00\11TcpNoDelayEnabled\01\01\00\12SizePrefixDisabled\01\00\00\09CacheSize\05\00\00\04\00\00\0cProviderName\09\00\08ActiveMQ\00\11StackTraceEnabled\01\01\00\0fPlatformDetails\09\00UJVM: 1.8.0_71, 25.71-b15, Oracle Corporation, OS: Linux, 3.10.0-514.el7.x86_64, amd64\00\0cCacheEnabled\01\01\00\14TightEncodingEnabled\01\00\00\0cMaxFrameSize\06\00\00\00\00\06@\00\00\00\15MaxInactivityDuration\06\00\00\00\00\00\00u0\00 MaxInactivityDurationInitalDelay\06\00\00\00\00\00\00'\10\00\0fProviderVer
这个一般不需要关注,后台有库的
可以修改动作
好吧 那我加一条白名单吧,谢谢老师
看不出来哪一个字符命中了,可以单独写一条策略放在这个调用特征库的rule前面,单独放行这一条流量
没看出来 老师
没看出来 老师
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明