Работа с пользовательскими правилами IDS

Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, настраивать, заменять и удалять пользовательские правила IDS, а также добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Пользователи с ролями Старший сотрудник службы безопасности или Сотрудник службы безопасности могут использовать правила IDS для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе обнаружений, а также просматривать информацию о правиле IDS.

В зависимости от режима работы программы и сервера, на котором создаются правила IDS, пользовательские правила IDS могут быть одного из следующих типов:

• Локальный – созданные на сервере SCN. По этим правилам производится проверка событий на этом сервере SCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

  Режим работы, при котором программа может использоваться для защиты инфраструктуры нескольких организаций одновременно.

  Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

• Глобальный – созданные на сервере PCN. По этим правилам производится проверка событий на этом сервере PCN и на всех серверах SCN, подключенных к этому серверу PCN. Проверяемые события относятся к организации, в рамках которой пользователь работает в веб-интерфейсе программы (в режиме распределенного решения и multitenancy).

В этом разделе справки Импорт пользовательского правила IDS Просмотр информации о пользовательском правиле IDS Включение и отключение использования правила IDS при проверке событий Настройка важности обнаружений, выполненных по пользовательскому правилу IDS Замена пользовательского правила IDS Скачивание файла пользовательского правила IDS на компьютер Удаление пользовательского правила IDS

В начало