Правила обнаружения вторжений
Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в промышленной сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.
Правила обнаружения вторжений хранятся на Сервере и сенсорах.
Программа применяет правила обнаружения вторжений при использовании метода обнаружения вторжений по правилам. Вы можете включать и выключать применение метода.
Правила обнаружения вторжений группируются в наборы правил по каким-либо признакам. Например, правила могут быть сгруппированы по их назначению и входить в набор, предназначенный для обнаружения определенных видов вторжений. Вы можете использовать следующие типы наборов правил:
- Системные наборы правил. Эти наборы правил поставляются "Лабораторией Касперского" и предназначены для обнаружения признаков наиболее часто встречающихся атак или нежелательной сетевой активности. Системные наборы правил доступны сразу после установки программы. Вы можете обновлять системные наборы правил, устанавливая обновления.
- Пользовательские наборы правил. Эти наборы правил пользователь самостоятельно загружает в программу. Для загрузки нужно использовать файлы, в которых содержатся структуры данных, задающие правила обнаружения вторжений. Файлы для загрузки должны находиться в одной директории и иметь расширение rules. Имена пользовательских наборов правил совпадают с именами файлов, из которых были загружены эти наборы правил.
Программа поддерживает применение не более чем 50 000 правил суммарно во всех загруженных наборах правил. Ограничение количества загруженных наборов правил – не более 100.
Правила, загружаемые из пользовательских наборов правил, могут содержать такие условия для анализа трафика, по которым программа будет регистрировать слишком большое количество событий срабатывания этих правил. В этом случае вам нужно учитывать, что регистрация слишком большого количества событий может повлиять на производительность системы обнаружения вторжений.
Наборы правил обнаружения вторжений могут быть включены или выключены. Правила из включенного набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил выключен, правила из этого набора не применяются.
При загрузке набора правил программа выполняет проверку содержащихся в нем правил. Если в проверяемых правилах обнаружены ошибки, программа блокирует применение таких правил. Если обнаружены ошибки во всех правилах набора или набор не содержит правил, программа выключает этот набор правил.
Сведения о наборах правил и обнаруженных ошибках вы можете просмотреть в разделе Обнаружение вторжений.
При обнаружении в трафике условий, заданных в правиле из включенного набора, программа регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000003000 – для события при срабатывании правила из системного набора правил;
- 4000003001 – для события при срабатывании правила из пользовательского набора правил.
Пользовательские наборы правил могут содержать правила, полученные из других систем обнаружения и предотвращения вторжений. При обработке таких правил программа не выполняет заданные в них действия, применяющиеся по отношению к сетевым пакетам (например, действия drop и reject). В результате срабатывания правил обнаружения вторжений в Kaspersky Industrial CyberSecurity for Networks выполняется только регистрация событий.
Значения оценок событий Kaspersky Industrial CyberSecurity for Networks соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).
Соответствие приоритетов правил и значений оценок событий
Значения приоритетов в правилах обнаружения вторжений | Значения оценок событий Kaspersky Industrial CyberSecurity for Networks |
|---|---|
4 и более | 2.5 |
3 | 4.5 |
2 | 6.5 |
1 | 9 |
