Правила обнаружения вторжений

Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в промышленной сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.

Правила обнаружения вторжений хранятся на Сервере и сенсорах.

Правила обнаружения вторжений входят в наборы правил. Набор правил включает правила обнаружения вторжений, сгруппированные по произвольным признакам (например, правила, которые содержат взаимозависимые условия для анализа трафика). В программе могут использоваться следующие типы наборов правил:

Программа поддерживает применение не более чем 50000 правил суммарно во всех загруженных наборах правил. Ограничение количества загруженных наборов правил – не более 100.

Правила, загружаемые из пользовательских наборов правил, могут содержать такие условия для анализа трафика, по которым программа будет регистрировать слишком большое количество событий срабатывания этих правил. При использовании правил, вызывающих регистрацию слишком большого количества событий, учитывайте, что в некоторых случаях они могут повлиять на производительность системы обнаружения вторжений.

Наборы правил обнаружения вторжений могут быть включены или выключены. Правила из включенного набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил выключен, правила из этого набора не применяются.

При загрузке набора правил программа выполняет проверку содержащихся в нем правил. Если в проверяемых правилах обнаружены ошибки, программа блокирует применение таких правил. Если обнаружены ошибки во всех правилах набора или набор не содержит правил, программа выключает этот набор правил.

Сведения о наборах правил и обнаруженных ошибках вы можете просмотреть в разделе Обнаружение вторжений.

При обнаружении в трафике условий, заданных в правиле из включенного набора, программа регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:

Пользовательские наборы правил могут содержать правила, полученные из других систем обнаружения и предотвращения вторжений. При обработке таких правил программа не выполняет заданные в них действия, применяющиеся по отношению к сетевым пакетам (например, действия drop и reject). В результате срабатывания правил обнаружения вторжений в Kaspersky Industrial CyberSecurity for Networks выполняется только регистрация событий.

Значения оценок событий Kaspersky Industrial CyberSecurity for Networks соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).

Соответствие приоритетов правил и значений оценок событий

Значения приоритетов в правилах обнаружения вторжений

Значения оценок событий Kaspersky Industrial CyberSecurity for Networks

4 и более

2.5

3

4.5

2

6.5

1

9

В начало