Recentemente, comecei a receber um número enorme (600 mil a 2 milhões por dia) de entradas FWX_E_TCP_NOT_SYN_PACKET_DROPPED, 0xc0040017 em meus logs do Forefront TMG.
Se os três principais IPs de origem indicarem que não há tráfego legítimo para ou a partir dos IPs que iniciam essas varreduras. Como posso evitar que esses sejam registrados pelo Forefront?
Infelizmente, o uso de uma regra de supressão padrão não funciona. Eu já tinha uma lista de supressão para determinado tráfego, incluindo o intervalo de multicast. Isso foi no topo do meu conjunto de regras. A regra listada é "Nenhum - ver Código de resultado", mesmo para o tráfego que está sendo suprimido.
Parece que a ferramenta Fwengmon foi substituída e os comandos netsh tmg não fornecem uma maneira pronta para suprimir esses alertas. Eu subi na cadeia alimentar - nós coletamos esses logs no Splunk e temos o Syslog-NG disponível como um filtro. Eu suprimi esses eventos espúrios no nível syslog-ng, bloqueando o código 0xc0040017.
Crie uma regra de acesso:
Negar / Todo o tráfego / De - > Novo conjunto de computadores "bloqueado sem registro" - > adicione os IPs ("computadores") a esta lista / Para qualquer lugar / Todos os usuários / Concluir.
Ordene primeiro na lista e desative a configuração "Registrar solicitações correspondentes a essa regra" na guia Geral, da memória.