Создание правила обнаружения сетевых аномалий

Для создаваемых правил обнаружения сетевых аномалий рекомендуется использовать подходящие встроенные шаблоны. Шаблоны содержат настроенные параметры (в том числе готовые SQL-запросы) для обнаружения типовых аномалий. В большинстве случаев после выбора встроенного шаблона может потребоваться только незначительная донастройка некоторых значений для создаваемого правила. Например, донастройка шаблонных значений может потребоваться только для переменных SQL-запроса, чтобы изменить в них пороговые значения или указать созданные справочники.

Чтобы создать правило обнаружения сетевых аномалий:

1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
2. В разделе Правила обнаружений → Обнаружение сетевых аномалий откройте область деталей по кнопке Добавить правило.
3. В раскрывающемся списке Шаблон выберите нужный шаблон для создаваемого правила.

   Значения параметров правила будут заданы в соответствии с выбранным шаблоном.

   Если вы оставите выбранным шаблон Пользовательский, настройку параметров правила потребуется выполнить полностью вручную (в том числе сформировать текст SQL-запроса для поиска атрибутов протоколов в базе данных).

4. Введите имя и описание правила.
5. С помощью параметра Глубина поиска задайте длительность интервала времени для поиска сетевых аномалий среди атрибутов протоколов, поступивших в базу данных. Вы можете указать интервал времени в секундах, минутах, часах или днях.
6. Если требуется запускать правило по расписанию, включите переключатель Запускать задание по расписанию и настройте параметры расписания:
   1. В раскрывающемся списке Периодичность выберите, как часто требуется выполнять запуски: По секундам, По минутам, По часам, По дням, Каждую неделю, Каждый месяц.
   2. В зависимости от выбранного варианта задайте значения параметров, чтобы уточнить время запуска.
7. Если требуется изменить период времени, по истечении которого Kaspersky Industrial CyberSecurity for Networks повторно зарегистрирует событие о срабатывании правила, включите переключатель Изменить значение по умолчанию и укажите нужное время разрешения повтора события.
8. В блоке параметров Основные параметры регистрации события проверьте и при необходимости настройте параметры регистрации события при срабатывании правила. Параметры заблокированы для изменения, если для правила выбран встроенный шаблон. В этом случае для изменения значений этих параметров требуется предварительно нажать на кнопку Разблокировать все шаблонные значения над полем с выбранным шаблоном.

   После нажатия на кнопку Разблокировать все шаблонные значения у создаваемого правила разрывается связь с выбранным встроенным шаблоном. Вместо ранее выбранного шаблона для правила указывается шаблон Пользовательский.

   В блоке параметров Основные параметры регистрации события вы можете задать значения для следующих параметров события, которое программа зарегистрирует при срабатывании правила:

   • Заголовок и описание события.

     При вводе заголовка или описания события рядом с курсором автоматически появляются подсказки или доступные для выбора общие переменные.

   • Значение оценки события.
9. Перейдите на вкладку SQL-запрос.

   Содержимое вкладки зависит от шаблона, выбранного при выполнении пункта 3:

   • Если был выбран встроенный шаблон, вкладка SQL-запрос содержит текст SQL-запроса, загруженный из этого шаблона. Переменные, указанные в SQL-запросе, перечислены в блоке Используемые переменные.
   • Если был выбран шаблон Пользовательский, вкладка не содержит данных. В этом случае сформируйте текст SQL-запроса вручную (см. пункт 12).
10. Если вкладка SQL-запрос содержит текст SQL-запроса, проверьте работу этого запроса с базой данных. Для этого нажмите на кнопку Выполнить.

    Появится окно Проверка выполнения SQL-запроса с таблицей результатов проверки работы SQL-запроса. Для управления отображением окна используйте кнопки в правом верхнем углу.

11. Если требуется, донастройте SQL-запрос путем изменения значений используемых в нем переменных. Переменные отображаются в блоке параметров Используемые переменные. Вы можете задавать значения переменных в явном виде или с помощью предварительно добавленных справочников. Для подстановки значения переменной из справочника нажмите на кнопку  напротив переменной и выберите нужный справочник.

    Вы можете использовать справочники для переменных с типом данных date, time, ip, port, string или weekday. Для переменных с типом данных int справочники не поддерживаются.

12. В поле SQL-запрос проверьте и при необходимости сформируйте нужный текст SQL-запроса. Текст SQL-запроса заблокирован для изменения, если для правила выбран встроенный шаблон. В этом случае для изменения текста требуется предварительно нажать на кнопку Разблокировать все шаблонные значения над полем с выбранным шаблоном.

    После нажатия на кнопку Разблокировать все шаблонные значения у создаваемого правила разрывается связь с выбранным встроенным шаблоном. Вместо ранее выбранного шаблона для правила указывается шаблон Пользовательский.

    После формирования текста SQL-запроса заново выполните пункты 10–11.

13. Нажмите на кнопку Сохранить.

В начало