Изменение правила обнаружения сетевых аномалий

Вы можете донастраивать созданные правила обнаружения сетевых аномалий, изменяя их параметры. Например, вы можете изменить в переменных SQL-запроса пороговые значения или указать для них другие справочники. При этом если для правила сохранена связь с выбранным встроенным шаблоном (то есть не указан шаблон Пользовательский), в этом правиле недоступно изменение параметров регистрации событий и текста SQL-запроса. Если вы хотите использовать правило с другими параметрами регистрации событий или с другим SQL-запросом, вы можете выключить текущее правило и создать новое правило с нужными параметрами.

Изменять правила обнаружения сетевых аномалий могут пользователи с ролью Администратор или Специалист по безопасности.

Чтобы изменить параметры правила обнаружения сетевых аномалий:

  1. Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора или Специалиста по безопасности.
  2. В разделе Правила обнаруженийОбнаружение сетевых аномалий выберите правило, которое вы хотите изменить.

    В правой части окна веб-интерфейса появится область деталей.

  3. Нажмите на кнопку Изменить.
  4. Введите имя и описание правила.
  5. С помощью параметра Глубина поиска задайте длительность интервала времени для поиска сетевых аномалий среди атрибутов протоколов, поступивших в базу данных. Вы можете указать интервал времени в секундах, минутах, часах или днях.
  6. Если требуется запускать правило по расписанию, включите переключатель Запускать задание по расписанию и настройте параметры расписания:
    1. В раскрывающемся списке Периодичность выберите, как часто требуется выполнять запуски: По секундам, По минутам, По часам, По дням, Каждую неделю, Каждый месяц.
    2. В зависимости от выбранного варианта задайте значения параметров, чтобы уточнить время запуска.
  7. Если требуется изменить период времени, по истечении которого Kaspersky Industrial CyberSecurity for Networks повторно зарегистрирует событие о срабатывании правила, включите переключатель Изменить значение по умолчанию и укажите нужное время разрешения повтора события.
  8. В блоке параметров Основные параметры регистрации события, проверьте и при необходимости настройте параметры регистрации события при срабатывании правила. Параметры заблокированы для изменения, если для правила выбран встроенный шаблон.

    Если параметры доступны для изменения, вы можете задать значения для следующих параметров события, которое программа зарегистрирует при срабатывании правила:

    • Заголовок и описание события.

      При вводе заголовка или описания события рядом с курсором автоматически появляются подсказки или доступные для выбора общие переменные.

    • Значение оценки события.
  9. Перейдите на вкладку SQL-запрос.
  10. При необходимости проверьте работу SQL-запроса с базой данных. Для этого нажмите на кнопку Выполнить.

    Появится окно Проверка выполнения SQL-запроса с таблицей результатов проверки работы SQL-запроса. Для управления отображением окна используйте кнопки в правом верхнем углу.

  11. Если требуется, донастройте SQL-запрос путем изменения значений используемых в нем переменных. Переменные отображаются в блоке параметров Используемые переменные. Вы можете задавать значения переменных в явном виде или с помощью предварительно добавленных справочников. Для подстановки значения переменной из справочника нажмите на кнопку Пиктограмма в виде списка. напротив переменной и выберите нужный справочник.

    Вы можете использовать справочники для переменных с типом данных date, time, ip, port, string или weekday. Для переменных с типом данных int справочники не поддерживаются.

  12. В поле SQL-запрос проверьте и при необходимости сформируйте нужный текст SQL-запроса. Текст SQL-запроса заблокирован для изменения, если для правила выбран встроенный шаблон.

    После формирования текста SQL-запроса заново выполните пункты 10–11.

  13. Нажмите на кнопку Сохранить.
В начало