Kaspersky Anti Targeted Attack Platform
5.0
Русский

Содержание

Работа с IDS-исключениями

Пользователи с ролью Старший сотрудник службы безопасности могут добавлять правила IDS "Лаборатории Касперского", по которым выполнены обнаружения средней и высокой степени важности, в исключения из проверки. Kaspersky Anti Targeted Attack Platform не будет создавать обнаружения по правилам IDS, добавленным в исключения.

Вы можете добавить в исключения только правила IDS "Лаборатории Касперского". Если вы не хотите применять при проверке пользовательское правило IDS, вы можете отключить это правило или удалить его.

Пользователи с ролью Аудитор могут просматривать список правил IDS, добавленных в исключения, и свойства выбранного правила.

Пользователям с ролью Сотрудник службы безопасности список правил IDS, добавленных в исключения, недоступен.

В этом разделе

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 196819]

Просмотр таблицы правил IDS, добавленных в исключения

Чтобы просмотреть таблицу правил IDS, добавленных в исключения:

  1. В окне веб-интерфейса программы выберите раздел Параметры, подраздел Исключения.
  2. Перейдите на закладку Исключения IDS.

Отобразится таблица правил IDS, добавленных в исключения. Вы можете фильтровать правила по ссылкам в названии столбцов.

В таблице содержится следующая информация:

  • Время создания – дата и время добавления правила IDS в исключения.
  • Правило – имя правила IDS.
  • ID правила – идентификатор правила IDS. sid (signature ID) в формате Suricata.
  • Описание – описание правила IDS.
  • Автор – имя пользователя, под учетной записью которого правило IDS было добавлено в исключения.

См. также

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 197094]

Добавление правила IDS в исключения

Вы можете добавлять правила IDS "Лаборатории Касперского", по которым выполнены обнаружения средней и высокой степени важности, в исключения из проверки событий.

Вы можете добавить в исключения только правила IDS "Лаборатории Касперского". Если вы не хотите применять при проверке событий пользовательское правило IDS , вы можете отключить это правило или удалить его.

Чтобы добавить правило IDS в исключения:

  1. В окне веб-интерфейса программы выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
  3. В раскрывающемся списке слева выберите Содержит.
  4. В раскрывающемся списке справа выберите технологию (IDS) Intrusion Detection System.
  5. Нажмите на кнопку Применить.
  6. По значку Apt_icon_Importance_new раскройте список параметров фильтрации.
  7. Выберите одну или обе степени важности обнаружений:
    • Средняя – обнаружение средней степени важности.
    • Высокая – обнаружение высокой степени важности.

    В таблице отобразятся обнаружения средней и/или высокой степени важности, выполненные технологией Intrusion Detection System на основе правил IDS "Лаборатории Касперского".

  8. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила IDS.

    Откроется окно с информацией об обнаружении.

  9. В правой части окна в блоке Рекомендации в разделе Оценка выберите Добавить в исключения.

    Откроется окно Добавить правило IDS в исключения.

  10. В поле Описание введите описание правила IDS.
  11. Нажмите на кнопку Добавить.

Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса программы, подразделе Исключения на закладке Исключения IDS. Это правило не будет применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция изменения записи в списке разрешенных объектов недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку правил IDS, добавленных в исключения.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 197089]

Редактирование описания правила IDS, добавленного в исключения

Чтобы отредактировать описание правила IDS, добавленного в исключения, из раздела Обнаружения:

  1. В окне веб-интерфейса программы выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
  3. В раскрывающемся списке слева выберите Содержит.
  4. В раскрывающемся списке справа выберите технологию (IDS) Intrusion Detection System.
  5. Нажмите на кнопку Применить.
  6. По значку Apt_icon_Importance_new раскройте список параметров фильтрации.
  7. Выберите одну или обе степени важности обнаружений:
    • Средняя – обнаружение средней степени важности.
    • Высокая – обнаружение высокой степени важности.

    В таблице отобразятся обнаружения средней и/или высокой степени важности, выполненные технологией Intrusion Detection System на основе правил IDS "Лаборатории Касперского".

  8. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила IDS.

    Откроется окно с информацией об обнаружении.

  9. В правой части окна в блоке Рекомендации в разделе Оценка выберите Изменить исключение IDS.

    Откроется окно Изменить исключение IDS.

    В поле Описание измените описание правила.

    Нажмите на кнопку Сохранить.

Описание правила IDS, добавленного в исключения, будет изменено. Это правило не будет применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция редактирования описания правила IDS недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку правил IDS, добавленных в исключения.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Удаление правил IDS из исключений
В начало
[Topic 197093]

Удаление правил IDS из исключений

Вы можете удалить из исключений одно или несколько правил IDS, а также все правила сразу.

Чтобы удалить правило IDS из исключений:

  1. В окне веб-интерфейса программы выберите раздел ПараметрыИсключения и перейдите на закладку Исключения IDS.
  2. Отобразится список правил IDS, добавленных в исключения.
  3. Выберите правило, которое вы хотите удалить из исключений.

    Откроется окно с информацией о правиле.

  4. Нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  5. Нажмите на кнопку Да.

Правило будет удалено из исключений. Правило будет применяться при создании обнаружений.

Чтобы удалить все или несколько правил IDS из исключений:

  1. В окне веб-интерфейса программы выберите раздел ПараметрыИсключения и перейдите на закладку Исключения IDS.
  2. Отобразится список правил IDS, добавленных в исключения.
  3. Установите флажки напротив правил, которые вы хотите удалить из исключений.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

  4. В панели управления в нижней части окна нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  5. Нажмите на кнопку Да.

Выбранные правила будут удалены из исключений. Правила будут применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция удаления правила IDS из исключений недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку IDS-исключений.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения
В начало
[Topic 197095]