管理 IDS 排除项
具有“高级安全官”角色的用户可以添加卡巴斯基 IDS 规则来扫描排除项。Kaspersky Anti Targeted Attack Platform 在通过排除的 IDS 规则进行扫描时不会创建检测。
您只能将卡巴斯基定义的 IDS 规则添加到排除项。如果您不想在扫描时应用用户定义的 IDS 规则,可以禁用或删除该规则。
如果要配置单一排除(例如,针对特定源地址),您可以:
- 打开您想要创建单一例外的 IDS 检测的信息。
- 复制 Suricata 格式的 IDS 检测数据并以您认为方便的任何方式保存。
- 将生成检测的卡巴斯基 IDS 规则添加到扫描排除项中。
- 通过以下方式之一将基于排除的卡巴斯基规则的属性的新规则添加到用户定义的 IDS 规则列表:
- 如果系统已有用户定义的 IDS 规则,请导出包含规则的文件,然后向该文件添加新规则,其中包含使用 Suricata 语法缩小规则范围的条件。下面是创建用户定义的 IDS 规则的示例。
- 如果系统中尚不存在用户定义的 IDS 规则,请创建一个文本文件并使用 Suricata 语法向其中添加具有限定条件的规则。下面是创建用户定义的 IDS 规则的示例。
- 导入包含已添加规则的文件。
我们不建议定期使用上述创建单一排除项的方法,因为大量用户定义的 IDS 规则可能会失控并降低企业 LAN 的保护级别。我们强烈推荐监控所创建的排除项的结果。我们还强烈推荐在导入之前在测试环境中测试用户定义的规则。用户定义的 IDS 规则可能会导致性能问题,在这种情况下无法保证 Kaspersky Anti Targeted Attack Platform 的稳定运行。
具有安全审计员角色的用户可以查看添加到排除项的 IDS 规则列表,并查看所选规则的属性。
具有安全官角色的用户无法查看添加到排除项的 IDS 规则列表。
根据排除的卡巴斯基规则的属性创建用户定义的 IDS 规则的示例
如果您不希望一个或多个源地址和/或目标地址包含在 IDS 检测中,则可以使用 ! (NOT) 运算符。
示例:
对于包含数据的 IDS 检测:
- header: alert ip any any -> any any.
- flow: established.
- content: example.
- sid: 10000000.
您可以创建以下具有单一排除项的用户定义的 IDS 规则:
- alert ip !10.10.0.22 any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000001;)
如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则此规则将针对除 IP 地址 10.10.0.22 之外的所有源触发。 - alert ip ![10.10.0.22,10.10.0.23] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000002;)
如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则此规则将针对除 IP 地址 10.10.0.22 和 10.10.0.23 之外的所有源触发。 - alert ip any any -> ![10.10.0.22,10.10.0.23] any (msg:"Example"; flow:established; content:"example"; sid:1000003;)
如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则此规则将针对除 IP 地址 10.10.0.22 和 10.10.0.23 之外的所有目标触发。 - alert ip any any -> ![10.10.0.22,10.10.0.23] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000004;)
如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则此规则将针对除具有特定端口的 IP 地址 10.10.0.22 和 10.10.0.23 之外的所有目标触发。 - alert ip ![10.10.0.22,10.10.0.23] ![8080,8085] -> ![10.80.0.1,10.80.0.2,10.80.0.3] ![8080,8085,8090] (msg:"Example"; flow:established; content:"example"; sid:1000005;)
如果源 IP 地址和目标 IP 地址不在排除项列表(包括端口)上,如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则会触发此规则。 - alert ip ![10.10.0.22/24,10.10.0.23/16] any -> any any (msg:"Example"; flow:established; content:"example"; sid:1000006;)
如果建立了连接 (flow:established) 并且有效负载包含字符串“example”,则此规则将针对除具有特定端口的子网 10.10.0.22/24 和 10.10.0.23/16 之外的所有源触发。 - alert ip ![10.10.0.22/24,10.10.0.23/16] any -> ![10.80.0.1/12,10.80.0.2/8] ![8080,8085] (msg:"Example"; flow:established; content:"example"; sid:1000007;)
如果未排除源子网和目标子网、目标端口不是 8080 或 8085、建立了连接 (flow:established) 并且有效负载包含字符串“example”,则会触发此规则。
|