公司财务部电脑突然弹出异常外连告警,运维小张打开后台一看——IP 192.168.3.42 正在向境外地址高频发送加密数据包。他点开入侵防御系统(IPS)界面,发现该行为已被标记为‘C2通信试探’,而同一时间,SIEM平台已自动封禁该IP,并触发防火墙策略更新。这不是科幻片,是真实部署了IPS实时监控集成后的日常。
为什么光装IPS还不够?
很多单位买了高端IPS设备,但只当它是个‘高级杀毒软件’:告警邮件发一堆,没人看;规则库天天更新,策略却半年不动;流量被拦下来了,但没通知防火墙同步封IP,攻击者换个端口又来了。问题不在IPS本身,而在它孤岛式运行——没有和监控平台、日志系统、网络设备打通。
实操:用开源工具做轻量级集成
不用上昂贵商业套件,用Suricata + Graylog + Python脚本就能跑通闭环。Suricata作为开源IPS引擎,输出JSON格式日志;Graylog接收并做可视化告警;再写个50行Python脚本监听Graylog API,一有高危事件就调用防火墙API执行封禁。
示例脚本片段(监听Graylog高危事件并调用FortiGate API):
import requests
import json
def block_ip(ip_addr):
url = "https://firewall/api/v2/cmdb/firewall/address"
payload = {
"name": f"blocked_{ip_addr}",
"subnet": f"{ip_addr}/32"
}
headers = {"Authorization": "Bearer your_api_key"}
requests.post(url, json=payload, headers=headers, verify=False)
# 假设从Graylog获取到事件
event = {"fields": {"src_ip": "203.124.55.11"}}
block_ip(event["fields"]["src_ip"])关键不是接通,而是‘能反应’
曾见过某教育局把IPS日志全量接入日志平台,但告警阈值设成‘单IP每分钟100次连接才提醒’——结果勒索病毒横向扫描时,每台机器只扫3次,压根不触发。后来改成‘连续3台不同主机在同一秒内访问同一异常端口’,当天就揪出感染源。集成的价值,不在数据堆得多,而在规则贴得近业务。
中小单位可先从‘IPS+防火墙+钉钉机器人’起步:Suricata告警→Logstash推送到钉钉→点击消息里的‘一键封禁’按钮,直接调用防火墙接口。不需要写前端,用现成的Webhook+简单表单就行。跑通一次,比读十篇白皮书都管用。