HP ProCurve Threat Management Solution Implementation Guide 2009-05
3-1
3
HP ProCurve Network Immunity Manager with a
Third-Party IDS/IPS
Contents
Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-3
Step 1: Establish a Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5
First Time Through the Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5
Task: Access PCM+ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-5
Task: Ensure Policy Execution Is Disabled . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-6
Optional Task: Consider Interaction with IDM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-8
Task: Start Event Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-9
Task: View Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-12
Task: Check the Results . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-13
Task: Exclude Devices as Needed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-17
Task: Adjust Event Sensitivities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-22
Task: Make a List of Security Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24
Optional Task: Record Top Offenders . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24
Second and Subsequent Times Through the Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24
Task: Update Events and Actions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-24
Step 2: Detect Threats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25
Task: Set Up Static Mirroring, as Needed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25
Set Up Local Mirroring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-25
Set Up Remote Mirroring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-28
Task: Configure a Cisco IPS 4200 Series Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-30
Subtask: Load the Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-30
Subtask: Set Up Communication Between the Cisco IPS 4200 Series Sensor
and PCM+/NIM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-34
Subtask: Discover the Cisco IPS 4200 Sensor in PCM+ . . . . . . . . . . . . . . . . . . . . . . . . .3-36
Subtask: Synchronize Time Between the Cisco IP 4200 Sensor and PCM+ . . . . . . . . . .3-37
Subtask: Configure Detection Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-38
Optional Subtask: Set Up an IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-45
Optional Subtask: Set Up an IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3-54