Правила обнаружения сетевых аномалий позволяют обнаруживать аномалии трафика, которые на сетевом уровне могут быть неотличимы от нормальной активности устройств. Для обнаружения таких аномалий приложение анализирует атрибуты протоколов, полученные в зарегистрированных сетевых сеансах. Правило обнаружения сетевых аномалий срабатывает, если найдены атрибуты, их значения и/или закономерности, описанные в правиле. При срабатывании правила Kaspersky Anti Targeted Attack Platform регистрирует событие.
Атрибуты протоколов представляют различные характеристики трафика в сетевых сеансах. Эти атрибуты сохраняются в отдельной базе данных на Сервере Kaspersky Anti Targeted Attack Platform. База данных для хранения атрибутов протоколов обеспечивает высокоскоростную обработку как поступающих данных, так и запросов для их анализа. Чтобы анализ по правилам оказывал минимальное влияние на СУБД и общую производительность приложения, обращения для поиска атрибутов выполняются на языке SQL-запросов. Вы можете формировать в правилах нужные SQL-запросы самостоятельно или использовать шаблоны правил с готовыми SQL-запросами.
Анализ по правилам обнаружения сетевых аномалий поддерживается для атрибутов следующих протоколов:
Приложение сохраняет атрибуты протоколов в базе данных при использовании метода получения атрибутов протоколов. Вы можете включать и выключать применение метода. Для использования метода получения атрибутов протоколов должен быть также включен метод обнаружения сетевых сессий. Оба этих метода должны быть включены на всех узлах с установленными компонентами приложения, от которых поступают сведения.
Поиск сетевых аномалий по правилам выполняется среди атрибутов протоколов, поступивших в базу данных в течение определенных интервалов времени. Длительность интервала времени для каждого правила задает параметр Глубина поиска. Длительность отсчитывается от момента конечной границы интервала. В зависимости от способа запуска правила момент конечной границы интервала времени может быть задан:
Для быстрой настройки параметров создаваемых правил обнаружения сетевых аномалий вы можете использовать встроенные шаблоны правил. Эти шаблоны поставляются "Лабораторией Касперского". Список встроенных в приложение шаблонов доступен сразу после установки приложения. Вы можете обновлять список встроенных шаблонов, устанавливая обновления.
Если при создании правила не выбран встроенный шаблон, настройку параметров правила требуется выполнить полностью вручную (в том числе сформировать текст SQL-запроса для поиска атрибутов протоколов в базе данных). В этом случае в качестве используемого шаблона для правила отображается шаблон Пользовательский. Этот же шаблон отображается, если после выбора встроенного шаблона в правиле изменены параметры, обеспечивающие логику работы по выбранному встроенному шаблону: текст SQL-запроса или основные параметры регистрации событий. Если изменяются другие параметры правила (например, параметры автоматического запуска по расписанию или пороговые значения в переменных SQL-запроса) и при этом не разблокированы все шаблонные значения в правиле, то связь правила с выбранным встроенным шаблоном сохраняется.
Максимальное количество правил обнаружения сетевых аномалий – 200.
Правила обнаружения сетевых аномалий могут быть включены или выключены. Если правило выключено, приложение не запускает это правило по настроенному расписанию, а также блокирует возможность запуска этого правила вручную.
Вы можете управлять правилами обнаружения сетевых аномалий в разделе Обнаружение вторжений, подарзделе Обнаружение сетевых аномалий. Если для переменных в SQL-запросах требуется использовать справочные значения (например, списки IP-адресов), вы можете создать справочники с нужными данными в разделе Параметры, Справочники.
Для регистрации события при срабатывании правила обнаружения сетевых аномалий используется системный тип события, которому присвоен код 4000003003.
События в трафике и сетевых сеансах ротируются не синхронно. Из-за этого при переходе с события в трафике к списку сетевых сеансов этот список может быть пустым.
Управлять правилами обнаружения сетевых аномалий могут пользователи с ролью Старший сотрудник службы безопасности. Пользователи с ролью Аудитор могут просматривать правила и справочники.