Правила обнаружения вторжений

Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в промышленной сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.

Правила обнаружения вторжений хранятся на Сервере и сенсорах.

Правила обнаружения вторжений входят в наборы правил. Набор правил включает правила обнаружения вторжений, сгруппированные по произвольным признакам (например, правила, которые содержат взаимозависимые условия для анализа трафика). В программе могут использоваться следующие типы наборов правил:

• Системные наборы правил. Эти наборы правил поставляются "Лабораторией Касперского" и предназначены для обнаружения признаков наиболее часто встречающихся атак или нежелательной сетевой активности. Системные наборы правил доступны сразу после установки программы. Вы можете обновлять системные наборы правил, устанавливая обновления.
• Пользовательские наборы правил. Эти наборы правил пользователь самостоятельно загружает в программу. Для загрузки нужно использовать файлы, в которых содержатся структуры данных, задающие правила обнаружения вторжений. Файлы для загрузки должны находиться в одной директории и иметь расширение rules. Названия пользовательских наборов правил совпадают с именами файлов, из которых были загружены эти наборы правил (без указания расширений файлов).

Наборы правил обнаружения вторжений могут находиться в активном или неактивном состояниях. Активное состояние означает, что правила из набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил переведен в неактивное состояние, правила из этого набора перестают применяться.

При загрузке набора правил программа выполняет проверку правил, содержащихся в наборе. Если в результате проверки набора правил возникли ошибки (например, обнаружены дублирующиеся правила), программа отображает сведения о количестве обнаруженных ошибок для этого набора. Наборы правил с обнаруженными ошибками игнорируются в программе (правила из этих наборов не применяются, даже если наборы находятся в активном состоянии).

При обнаружении в трафике условий, заданных в активном правиле обнаружения вторжений, программа регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:

• 4000003000 – для события при срабатывании правила из системного набора правил;
• 4000003001 – для события при срабатывании правила из пользовательского набора правил.

Уровни важности событий Kaspersky Industrial CyberSecurity for Networks соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).

Соответствие приоритетов правил и уровней важности событий

Значения приоритетов в правилах обнаружения вторжений	Уровни важности событий Kaspersky Industrial CyberSecurity for Networks
4 и более	Информационные
2 или 3	Важные
1	Критические

В начало