Работа с пользовательскими правилами IDS

В

режиме распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

• Созданные на сервере PCN. По этим правилам производится проверка трафика на сервере PCN.
• Созданные на сервере SCN. По этим правилам производится проверка трафика на сервере SCN.

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, заменять и удалять пользовательские правила IDS, а также добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Старший сотрудник службы безопасности и Аудитор могут использовать правила IDS для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе обнаружений, а также просматривать информацию о правиле IDS.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Импорт пользовательского правила IDS

Вы можете импортировать файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrision Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

Например, загрузка пользовательских правил может привести к следующим ошибкам:

• приложение может создавать слишком много IDS-обнаружений;
• если приложение не будет успевать записывать IDS-обнаружения, некоторые объекты сетевого трафика могут остаться непроверенными;
• регулярные выражения в составе пользовательских правил могут привести к ухудшению производительности или сбоям в работе приложения;
• даже формально корректные пользовательские правила могут привести к ухудшению производительности или сбоям в работе приложения.

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы импортировать пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

   Откроется окно пользовательского правила IDS.

2. Нажмите на кнопку Импортировать.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в приложение.

Просмотр информации о пользовательском правиле IDS

Чтобы просмотреть информацию о пользовательском правиле IDS,

в окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

В веб-интерфейсе отображается следующая информация о правиле IDS:

• Состояние – состояние использования правила при проверке событий.
• Размер файла – размер файла правила.
• Последнее обновление – время импорта правила.
• Автор – имя пользователя, под учетной записью которого было импортировано правило.
• Важность – степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS.

Включение и отключение использования правила IDS при проверке событий

Чтобы включить или отключить использование правила IDS при проверке событий:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS.
3. Переведите переключатель Состояние в одно из следующих положений:
   • Включено.
   • Выключено.

Использование правила IDS при проверке событий будет включено или отключено.

Для пользователей с ролью Аудитор функция включения и отключения правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Настройка важности обнаружений, выполненных по пользовательскому правилу IDS

Чтобы настроить степень важности, которая будет присвоена обнаружению, выполненному по правилу IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. В раскрывающемся списке Важность выберите степень важности, которая будет присвоена обнаружению, выполненному по этому правилу IDS:
   • Низкая.
   • Средняя.
   • Высокая.
3. При необходимости с помощью переключателя Состояние включите использование этого правила IDS.

Важность обнаружений, выполненных по этому правилу IDS, будет настроена.

Для пользователей с ролью Аудитор функция настройки правил IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Замена пользовательского правила IDS

Вы можете заменить ранее импортированный файл формата Snort или Suricata и использовать его для проверки событий и создания обнаружений Intrusion Detection System.

Настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется

При загрузке идентификаторы и атрибуты пользовательских правил могут быть изменены. Действия правил Reject и Drop будут заменены на Alert, правила с действием Pass будут удалены

Чтобы заменить пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. Под информацией о правиле нажмите на кнопку Заменить.

   Откроется окно выбора файла на вашем локальном компьютере.

3. Выберите файл, который вы хотите загрузить и нажмите на кнопку Открыть.

Пользовательское правило IDS будет импортировано в приложение и заменит ранее импортированное правило.

Для пользователей с ролью Аудитор функция замены пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.

Экспорт файла пользовательского правила IDS на компьютер

Вы можете экспортировать ранее импортированный файл правила IDS.

Чтобы экспортировать файл пользовательского правила IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.

   Откроется окно пользовательского правила IDS.

2. Под информацией о правиле нажмите на кнопку Скачать.

Файл будет сохранен на ваш локальный компьютер в папку загрузки браузера.

Удаление пользовательского правила IDS

При работе в режиме распределенного решения пользователи с ролью Старший сотрудник службы безопасности могут удалять только то пользовательское правило IDS, которое было импортировано на текущий сервер. Это значит, что в веб-интерфейсе PCN доступно удаление только правила, созданного на PCN. В веб-интерфейсе SCN доступно удаление только правила, созданного на SCN.

Чтобы удалить пользовательское правило IDS:

1. В окне веб-интерфейса приложения выберите раздел Пользовательские правила, подраздел IDS.
2. Откроется окно пользовательского правила IDS. Нажмите на кнопку Удалить.

   Откроется окно подтверждения действия.

3. Нажмите на кнопку Да.

Правило будет удалено.

Вы не можете удалять правила IDS "Лаборатории Касперского". Если вы не хотите использовать при проверке правило IDS "Лаборатории Касперского", вам требуется добавить его в исключения.

Для пользователей с ролью Аудитор функция удаления пользовательского правила IDS недоступна.

У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам IDS.