Kaspersky Anti Targeted Attack Platform
6.0
Русский

Содержание

Работа с IDS-исключениями

Пользователи с ролью Старший сотрудник службы безопасности могут добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Kaspersky Anti Targeted Attack Platform не будет создавать обнаружения при проверке по правилам IDS, добавленным в исключения.

Вы можете добавить в исключения только правила IDS "Лаборатории Касперского". Если вы не хотите применять при проверке пользовательское правило IDS, вы можете отключить это правило или удалить его.

Если вы хотите настроить точечное исключение, например, для выбранного адреса источника, вы можете выполнить следующие действия:

  1. Откройте сведения об обнаружении IDS, для которого вы хотите создать точечное исключение.
  2. Скопируйте данные IDS-обнаружения в формате Suricata и сохраните их любым удобным для вас способом.
  3. Добавьте правило IDS "Лаборатории Касперского", по которому было создано обнаружение, в исключения из проверки.
  4. Добавьте в список пользовательских правил IDS новое правило, созданное на основе характеристик исключенного правила "Лаборатории Касперского", одним из следующих способов:
    • Если в системе уже есть пользовательские правила IDS, вам нужно экспортировать файл с правилами и дописать в этот файл новое правило с уточняющими условиями, используя синтаксис Suricata. Пример составления пользовательских правил IDS см. ниже.
    • Если в системе пока нет пользовательских правил IDS, вам нужно создать текстовый файл и добавить в него правило с уточняющими условиями, используя синтаксис Suricata. Пример составления пользовательских правил IDS см. ниже.
  5. Импортируйте файл с добавленным правилом.

Не рекомендуется использовать приведенный выше способ создания точечных исключений на регулярной основе, так как большое количество пользовательских правил IDS при ненадлежащем контроле может снизить уровень защиты локальной сети организации. Настоятельно рекомендуется отслеживать результаты работы созданных исключений. Также настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется.

Пользователи с ролью Аудитор могут просматривать список правил IDS, добавленных в исключения, и свойства выбранного правила.

Пользователям с ролью Сотрудник службы безопасности список правил IDS, добавленных в исключения, недоступен.

Примеры составления пользовательских правил IDS на основе характеристик исключенного правила "Лаборатории Касперского"

Чтобы в IDS-обнаружение не попадал один или несколько адресов источников и/или адресов назначения, вы можете воспользоваться оператором ! (NOT).

Пример:

Для IDS-обнаружения с данными:

  • header: alert ip any any -> any any.
  • flow: established.
  • content: example.
  • sid: 10000000.

Вы можете создать следующие пользовательские правила IDS с точечными исключениями:

  • alert ip !10.10.0.22 any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000001;)

    Правило сработает для всех источников, кроме IP-адреса 10.10.0.22, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".

  • alert ip ![10.10.0.22,10.10.0.23] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000002;)

    Правило сработает для всех источников, кроме IP-адресов 10.10.0.22 и 10.10.0.23, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".

  • alert ip any any -> ![10.10.0.22,10.10.0.23] any (msg:"Example"; flow:established; content:"example"; sid:1000003;)

    Правило сработает для всех получателей, кроме IP-адресов 10.10.0.22 и 10.10.0.23, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".

  • alert ip any any -> ![10.10.0.22,10.10.0.23] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000004;)

    Правило сработает для всех получателей, кроме IP-адресов 10.10.0.22 и 10.10.0.23 с учетом портов, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".

  • alert ip ![10.10.0.22,10.10.0.23] ![8080,8085] -> ![10.80.0.1,10.80.0.2,10.80.0.3] ![8080,8085,8090] (msg:"Example"; flow:established; content:"example"; sid:1000005;)

    Правило сработает, если IP-адреса источника и назначения не входят в исключенный список (с учетом портов), если установлено соединение (flow:established) и в полезной нагрузке (payload) имеется строка "example".

  • alert ip ![10.10.0.22/24,10.10.0.23/16] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000006;)

    Правило сработает для всех источников, кроме подсетей 10.10.0.22/24 и 10.10.0.23/16 с учетом портов, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".

  • alert ip ![10.10.0.22/24,10.10.0.23/16] any -> ![10.80.0.1/12,10.80.0.2/8] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000007;)

    Правило сработает, если исходная и целевая подсеть не входят в исключения, целевой порт не 8080 или 8085, если установлено соединение (flow:established) и в полезной нагрузке (payload) имеется строка "example".

В этом разделе

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 247774]

Просмотр таблицы правил IDS, добавленных в исключения

Чтобы просмотреть таблицу правил IDS, добавленных в исключения:

  1. В окне веб-интерфейса приложения выберите раздел Параметры, подраздел Исключения.
  2. Перейдите на закладку IDS.

Отобразится таблица правил IDS, добавленных в исключения. Вы можете фильтровать правила по ссылкам в названии столбцов.

В таблице содержится следующая информация:

  • Время создания – дата и время добавления правила IDS в исключения.
  • Правило – имя правила IDS.
  • ID правила – идентификатор правила IDS. sid (signature ID) в формате Suricata.
  • Описание – описание правила IDS.
  • Автор – имя пользователя, под учетной записью которого правило IDS было добавлено в исключения.

См. также

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 197094]

Добавление правила IDS в исключения

Вы можете добавлять правила IDS "Лаборатории Касперского", по которым выполнены обнаружения средней и высокой степени важности, в исключения из проверки событий.

Вы можете добавить в исключения только правила IDS "Лаборатории Касперского". Если вы не хотите применять при проверке событий пользовательское правило IDS, вы можете отключить это правило или удалить его.

Чтобы добавить правило IDS в исключения:

  1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
  3. В раскрывающемся списке слева выберите Содержит.
  4. В раскрывающемся списке справа выберите технологию (IDS) Intrusion Detection System.
  5. Нажмите на кнопку Применить.
  6. Если вы хотите отфильтровать обнаружения, по значку Apt_icon_Importance_new раскройте список параметров фильтрации и выберите нужный фильтр.
  7. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила IDS.

    Откроется окно с информацией об обнаружении.

  8. В правой части окна в блоке Рекомендации в разделе Оценка выберите Добавить в исключения.

    Откроется окно Добавить правило IDS в исключения.

  9. В поле Описание введите описание правила IDS.
  10. Нажмите на кнопку Добавить.

Правило IDS будет добавлено в исключения и отобразится в списке исключений в разделе Параметры веб-интерфейса приложения, подразделе Исключения на закладке IDS. Это правило не будет применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция изменения записи в списке разрешенных объектов недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку правил IDS, добавленных в исключения.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Редактирование описания правила IDS, добавленного в исключения

Удаление правил IDS из исключений
В начало
[Topic 247776]

Редактирование описания правила IDS, добавленного в исключения

Чтобы отредактировать описание правила IDS, добавленного в исключения, из раздела Обнаружения:

  1. В окне веб-интерфейса приложения выберите раздел Обнаружения.

    Откроется таблица обнаружений.

  2. По ссылке в столбце Технологии откройте окно настройки фильтрации.
  3. В раскрывающемся списке слева выберите Содержит.
  4. В раскрывающемся списке справа выберите технологию (IDS) Intrusion Detection System.
  5. Нажмите на кнопку Применить.
  6. Если вы хотите отфильтровать обнаружения, по значку Apt_icon_Importance_new раскройте список параметров фильтрации и выберите нужный фильтр.
  7. Выберите обнаружение, для которого в столбце Обнаружено отображается название нужного правила IDS.

    Откроется окно с информацией об обнаружении.

  8. В правой части окна в блоке Рекомендации в разделе Оценка выберите Изменить исключение IDS.

    Откроется окно Изменить исключение IDS.

    В поле Описание измените описание правила.

    Нажмите на кнопку Сохранить.

Описание правила IDS, добавленного в исключения, будет изменено. Это правило не будет применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция редактирования описания правила IDS недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку правил IDS, добавленных в исключения.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Удаление правил IDS из исключений
В начало
[Topic 247777]

Удаление правил IDS из исключений

Вы можете удалить из исключений одно или несколько правил IDS, а также все правила сразу.

Чтобы удалить правило IDS из исключений:

  1. В окне веб-интерфейса программы выберите раздел ПараметрыИсключения и перейдите на закладку IDS.
  2. Отобразится список правил IDS, добавленных в исключения.
  3. Выберите правило, которое вы хотите удалить из исключений.

    Откроется окно с информацией о правиле.

  4. Нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  5. Нажмите на кнопку Да.

Правило будет удалено из исключений. Правило будет применяться при создании обнаружений.

Чтобы удалить все или несколько правил IDS из исключений:

  1. В окне веб-интерфейса программы выберите раздел ПараметрыИсключения и перейдите на закладку IDS.
  2. Отобразится список правил IDS, добавленных в исключения.
  3. Установите флажки напротив правил, которые вы хотите удалить из исключений.

    Вы можете выбрать все правила, установив флажок в строке с заголовками столбцов.

  4. В панели управления в нижней части окна нажмите на кнопку Удалить.

    Откроется окно подтверждения действия.

  5. Нажмите на кнопку Да.

Выбранные правила будут удалены из исключений. Правила будут применяться при создании обнаружений.

Для пользователей с ролью Аудитор функция удаления правила IDS из исключений недоступна.

Пользователи с ролью Сотрудник службы безопасности не имеют доступа к списку IDS-исключений.

См. также

Просмотр таблицы правил IDS, добавленных в исключения

Добавление правила IDS в исключения

Редактирование описания правила IDS, добавленного в исключения
В начало
[Topic 247778]