Создание правила исключения

Вы можете создать максимум 7000 правил исключений.

Чтобы создать правило исключения:

  1. В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисыNGFW.
  2. Перейдите на вкладку Объекты и выберите Профили безопасностиIDPS.

    Откроется список профилей IDPS.

  3. Откройте окно изменения профиля одним из следующих способов:
    • Нажмите на название профиля.
    • Установите флажок рядом с профилем, который вы хотите изменить, и нажмите Изменить.
  4. Перейдите в раздел Правила исключения.
  5. Нажмите Создать.

    Откроется окно создания правила исключения.

  6. В поле Название введите название нового правила исключения.

    Название правила должно быть уникальным среди правил исключения в данном профиле IDPS.

    Максимальная длина – 128 символов.

  7. Выберите необходимое действие, которое будет применяться к трафику при обнаружении сигнатуры:
    • Разрешать – при обнаружении сигнатуры разрешать трафик.
    • Блокировать – при обнаружении сигнатуры блокировать трафик (пакеты установленной сессии отбрасываются).

      Указанное действие в правиле исключения является более приоритетным по отношению к действию, указанному в профиле IDPS.

  8. Если вы хотите отправлять события безопасности в SIEM-систему при срабатывании сигнатуры, включите запись в журнал.
  9. Заполните хотя бы одно поле в блоке Параметры правила.

    Значения соответствуют значениям, указанным в событиях безопасности, отправленных в SIEM-систему, которую вы используете. Чтобы задать для какой-либо сигнатуры действие, отличное от заданного в основном профиле, например при ложном срабатывании, скопируйте необходимые параметры события безопасности из SIEM-системы:

    • ID – уникальный идентификатор сигнатуры.
    • Тип уязвимости – тип уязвимости или угрозы.
    • Приоритет – степень важности, присвоенная правилу. Может иметь значения Низкий, Средний или Высокий.
    • Тактика MITRE – сработавшая тактика по классификации MITRE. Вы можете указать одну MITRE-тактику.
    • Техника MITRE – сработавшая техника по классификации MITRE. Вы можете указать одну MITRE-технику.

    При одновременном использовании нескольких значений применяется логическое "И".

  10. Нажмите Создать, чтобы сохранить изменения в правиле исключения.
  11. Нажмите Сохранить, чтобы сохранить изменения в пользовательском профиле IDPS.
  12. Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.

Правило исключения отобразится в таблице правил. Правило исключения начнет действовать, когда завершится текущая сессия и начнется новая.

В начало