管理使用者定義的入侵偵測規則

為了偵測網路流量中的入侵，您可以使用入侵偵測規則和使用內建演算法的其他入侵偵測方法。當在流量中偵測到攻擊指標時，Kaspersky Anti Targeted Attack Platform 會記錄入侵偵測技術事件。

需要有效的 KATA 或 KATA + NDR 產品授權金鑰來管理使用者定義的入侵偵測規則。

入侵偵測規則描述可能表示網路攻擊的流量異常。規則包含入侵偵測系統用於分析流量的條件。

如果啟用了基於規則的入侵偵測方法，則套用入侵偵測規則。您可以啟用或停用方法。

您可以使用以下類型的規則集：

系統規則集。這些規則集由卡巴斯基提供，用於檢測最常見攻擊或不必要的網路活動的指標。系統規則集在安裝應用程式後立即可用。您可以透過安裝更新來更新系統規則集。如果有必要，您可以為這些規則建立掃描排除項目。有關詳細資訊，請參閱“管理入侵檢測規則排除項目”和“管理 NDR 事件的允許規則”部分。
使用者定義的規則集。這些是您自己上傳的規則集。您上傳的檔案必須包含定義入侵偵測規則的資料結構。您要上傳的檔案必須都位於同一目錄中，並且必須具有 .rules 副檔名。自訂規則集的名稱與從其上傳規則集的檔案的名稱相符。
使用者定義的入侵偵測規則集顯示在“自訂規則 → 入侵偵測”部分。

該應用程式支援所有上傳的規則集中總共最多 50000 條規則。您最多可以上傳 100 個規則集。

從使用者自訂規則集載入的規則可能包含流量分析條件，導致應用程式註冊過多的規則觸發事件。在這種情況下，您必須記住，註冊過多事件會影響入侵偵測系統的效能。

可以啟用或停用入侵偵測規則集。如果啟用了基於規則的入侵偵測方法，則在流量分析期間將套用已啟用規則集中的規則。如果停用某個規則集，則不會套用該規則集中的規則。

上傳規則集時，應用程式會檢查其中包含的規則。如果在規則中發現任何錯誤，應用程式將封鎖此類規則並且不會套用它們。如果在規則集的所有規則中發現錯誤或規則集不包含任何規則，則應用程式將停用此規則集。

當在流量中偵測到已啟用集的規則中指定的條件時，應用程式會註冊規則觸發事件。使用系統事件類型進行註冊，其代碼如下：

使用者定義的規則集可以包含從其他入侵偵測和防護系統獲得的規則。當處理這些規則時，應用程式不會執行套用於網路封包的指定操作（例如，丟棄和拒絕操作）。當入侵偵測規則觸發時，Kaspersky Anti Targeted Attack Platform 僅記錄一個事件。

Kaspersky Anti Targeted Attack Platform 事件分數的數值與入侵偵測規則中的優先順序值相對應（請參閱下表）。

規則優先順序與事件分數的對應關係

入侵偵測規則中的優先順序值	Kaspersky Anti Targeted Attack Platform 事件分數
四個或以上	2.5
3	4.5
2	6.5
1	9

您可以在“設定” → “事件類型”下配置註冊入侵偵測事件的設定。

您可以在已註冊事件表中檢視入侵偵測事件。

在分佈式解決方案和多租戶模式下，使用者定義的入侵偵測規則可以有以下類型之一：

具有“資深安全員”角色的使用者可以上傳、啟用或停用使用者定義的入侵偵測規則集，以及將卡巴斯基定義的入侵偵測規則新增至掃描排除項目。擁有“安全稽核員”角色的使用者可以檢視使用者定義的檢測規則集。擁有“安全官”角色的使用者無權存取使用者定義的入侵偵測規則集。

本節內容