Работа с IDS-исключениями
Пользователи с ролью Старший сотрудник службы безопасности могут добавлять правила IDS "Лаборатории Касперского" в исключения из проверки. Kaspersky Anti Targeted Attack Platform не будет создавать обнаружения при проверке по правилам IDS, добавленным в исключения.
Вы можете добавить в исключения только правила IDS "Лаборатории Касперского". Если вы не хотите применять при проверке пользовательское правило IDS, вы можете отключить это правило или удалить его.
Если вы хотите настроить точечное исключение, например, для выбранного адреса источника, вы можете выполнить следующие действия:
- Откройте сведения об обнаружении IDS, для которого вы хотите создать точечное исключение.
- Скопируйте данные IDS-обнаружения в формате Suricata и сохраните их любым удобным для вас способом.
- Добавьте правило IDS "Лаборатории Касперского", по которому было создано обнаружение, в исключения из проверки.
- Добавьте в список пользовательских правил IDS новое правило, созданное на основе характеристик исключенного правила "Лаборатории Касперского", одним из следующих способов:
- Если в системе уже есть пользовательские правила IDS, вам нужно экспортировать файл с правилами и дописать в этот файл новое правило с уточняющими условиями, используя синтаксис Suricata. Пример составления пользовательских правил IDS см. ниже.
- Если в системе пока нет пользовательских правил IDS, вам нужно создать текстовый файл и добавить в него правило с уточняющими условиями, используя синтаксис Suricata. Пример составления пользовательских правил IDS см. ниже.
- Импортируйте файл с добавленным правилом.
Не рекомендуется использовать приведенный выше способ создания точечных исключений на регулярной основе, так как большое количество пользовательских правил IDS при ненадлежащем контроле может снизить уровень защиты локальной сети организации. Настоятельно рекомендуется отслеживать результаты работы созданных исключений. Также настоятельно рекомендуется проверить работу пользовательских правил в тестовой среде перед импортом. Пользовательские правила IDS могут вызвать проблемы производительности, в случае которых стабильная работа Kaspersky Anti Targeted Attack Platform не гарантируется.
Пользователи с ролью Аудитор могут просматривать список правил IDS, добавленных в исключения, и свойства выбранного правила.
Пользователям с ролью Сотрудник службы безопасности список правил IDS, добавленных в исключения, недоступен.
Примеры составления пользовательских правил IDS на основе характеристик исключенного правила "Лаборатории Касперского"
Чтобы в IDS-обнаружение не попадал один или несколько адресов источников и/или адресов назначения, вы можете воспользоваться оператором ! (NOT).
Пример:
Для IDS-обнаружения с данными:
- header: alert ip any any -> any any.
- flow: established.
- content: example.
- sid: 10000000.
Вы можете создать следующие пользовательские правила IDS с точечными исключениями:
- alert ip !10.10.0.22 any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000001;)
Правило сработает для всех источников, кроме IP-адреса 10.10.0.22, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".
- alert ip ![10.10.0.22,10.10.0.23] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000002;)
Правило сработает для всех источников, кроме IP-адресов 10.10.0.22 и 10.10.0.23, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".
- alert ip any any -> ![10.10.0.22,10.10.0.23] any (msg:"Example"; flow:established; content:"example"; sid:1000003;)
Правило сработает для всех получателей, кроме IP-адресов 10.10.0.22 и 10.10.0.23, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".
- alert ip any any -> ![10.10.0.22,10.10.0.23] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000004;)
Правило сработает для всех получателей, кроме IP-адресов 10.10.0.22 и 10.10.0.23 с учетом портов, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".
- alert ip ![10.10.0.22,10.10.0.23] ![8080,8085] -> ![10.80.0.1,10.80.0.2,10.80.0.3] ![8080,8085,8090] (msg:"Example"; flow:established; content:"example"; sid:1000005;)
Правило сработает, если IP-адреса источника и назначения не входят в исключенный список (с учетом портов), если установлено соединение (flow:established) и в полезной нагрузке (payload) имеется строка "example".
- alert ip ![10.10.0.22/24,10.10.0.23/16] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000006;)
Правило сработает для всех источников, кроме подсетей 10.10.0.22/24 и 10.10.0.23/16 с учетом портов, если установлено соединение (flow:established) и если в полезной нагрузке (payload) имеется строка "example".
- alert ip ![10.10.0.22/24,10.10.0.23/16] any -> ![10.80.0.1/12,10.80.0.2/8] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000007;)
Правило сработает, если исходная и целевая подсеть не входят в исключения, целевой порт не 8080 или 8085, если установлено соединение (flow:established) и в полезной нагрузке (payload) имеется строка "example".
|
В начало