Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

Реагирование на угрозы

Действия по реагированию

Ответ с помощью Ideco NGFW

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

Ответ с помощью Ideco NGFW

15 мая 2024

ID 269790

Скачать PDF

Развернуть все | Свернуть все

Ideco NGFW – это решение, которое действует как фильтр для интернет-трафика в корпоративных и частных сетях. Он позволяет заблокировать IP-адреса и веб-адреса, обнаруженные Kaspersky SMP, если вы ранее настроили интеграцию Kaspersky SMP и службы запуска скриптов.

Поддерживается Ideco NGFW версии 16.0 и выше.

Логин и пароль для доступа к Ideco NGFW хранятся в скрипте для интеграции с Ideco NGFW. Вы можете скачать скрипт по следующей ссылке:

Загрузить скрипт

Чтобы использовать скрипт:

  1. Установите скрипт одним из следующих способов:
    • С помощью pip, например:

      pip install -r requirements.txt

    • Из WHL-файла, например:

      pip install ./dist/kaspersky_xdr_ideco_integration-<version>-py3-none-any.whl

    • Автономная установка.

      Если у вас нет доступа в интернет, вы можете установить скрипт автономно. В этом случае сделайте следующее:

      1. Загрузите зависимости на устройство с доступом в интернет, выполнив следующую команду:

        pip download -r requirements.txt

      2. Переместите загруженные зависимости на устройство, на котором вы будете запускать скрипт.
      3. Установите зависимости с помощью команды:

        pip install --no-index --find-links <путь_к_папке_с_загруженными_зависимостям> -r requirements.txt

  2. Настройте скрипт одним из следующих способов:
    • С помощью ENV-файла, например:

      cp .env.sample .env

      nano .env

    • В теле скрипта (ideco.py) измените параметры в следующих строках:

      BASE_URL: str = getenv("BASE_URL", "https://your-ip:your-port")

      LOGIN: str = getenv("LOGIN", "your-login")

      PASSWORD: str = getenv("PASSWORD", "your-password")

      IP_DENY_LIMIT: int = int(getenv("IP_DENY_LIMIT", 1000))

  3. Добавьте правила запрета для IP-адресов, обнаруженных Kaspersky SMP, и для вредоносных веб-адресов.

Чтобы добавить правило сетевого экрана, которое будет блокировать IP-адреса:

  1. Запустите скрипт с помощью команды add_firewall_rule.
  2. Укажите IP-адреса, которые вы хотите заблокировать.

    По умолчанию максимальное количество IP-адресов – 1000. Вы можете изменить это значение, как описано в шаге 2 Настройка скрипта.

    Необходимо добавлять действительные IPv4-адреса через запятую и без пробелов, например:

    python ideco.py add_firewall_rule --ip_address "12.12.12.12, 13.13.13.13"

Правило запрета для выбранных адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/ideco_add_firewall_rule.gif)

Чтобы добавить правило фильтрации, которое будет блокировать вредоносные веб-адреса:

  1. Запустите скрипт с помощью команды add_content_filter_file command.
  2. Укажите веб-адреса, которые вы хотите заблокировать.

    Веб-адреса должны быть разделены запятыми и иметь префиксы http:// или https://, например:

    python ideco.py add_content_filter_rule --url "https://url_1.com, http://url_2.com.uk, http://qwerty.nl, http://zxc.xc"

Правило запрета для указанных веб-адресов добавлено, например:

![Adding content filtering rule](./assets/screencasts/ideco_add_content_filtering_rule.gif)

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!