Работа с пользовательскими правилами обнаружения вторжений
Для обнаружения вторжений в трафике сети вы можете использовать правила обнаружения вторжений и дополнительные методы обнаружения вторжений по встроенным алгоритмам. При обнаружении в трафике признаков атак Kaspersky Anti Targeted Attack Platform регистрирует события по технологии Обнаружение вторжений.
Для работы с пользовательскими правилами обнаружения вторжений требуется действующий лицензионный ключ KATA или KATA + NDR.
Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.
Приложение применяет правила обнаружения вторжений, если включен метод обнаружения вторжений по правилам. Вы можете включать и выключать применение метода.
Вы можете использовать следующие типы наборов правил:
- Системные наборы правил. Эти наборы правил поставляются "Лабораторией Касперского" и предназначены для обнаружения признаков наиболее часто встречающихся атак или нежелательной сетевой активности. Системные наборы правил доступны сразу после установки приложения. Вы можете обновлять системные наборы правил, устанавливая обновления. При необходимости вы можете создать для этих правил исключения из проверки. См. подробнее разделы Работа с исключениями из правил обнаружения вторжений и Работа с разрешающими правилами для событий NDR.
- Пользовательские наборы правил. Эти наборы правил вы самостоятельно загружаете в приложение. Для загрузки нужно использовать файлы, в которых содержатся структуры данных, задающие правила обнаружения вторжений. Файлы для загрузки должны находиться в одной директории и иметь расширение rules. Имена пользовательских наборов правил совпадают с именами файлов, из которых были загружены эти наборы правил.
Пользовательские наборы правил обнаружения вторжений отображаются в разделе Пользовательские правила → Обнаружение вторжений.
Приложение поддерживает применение не более чем 50 000 правил суммарно во всех загруженных наборах правил. Ограничение количества загруженных наборов правил – не более 100.
Правила, загружаемые из пользовательских наборов правил, могут содержать такие условия для анализа трафика, по которым приложение будет регистрировать слишком большое количество событий срабатывания этих правил. В этом случае вам нужно учитывать, что регистрация слишком большого количества событий может повлиять на производительность системы обнаружения вторжений.
Наборы правил обнаружения вторжений могут быть включены или выключены. Правила из включенного набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил выключен, правила из этого набора не применяются.
При загрузке набора правил приложение выполняет проверку содержащихся в нем правил. Если в проверяемых правилах обнаружены ошибки, приложение блокирует применение таких правил. Если обнаружены ошибки во всех правилах набора или набор не содержит правил, приложение выключает этот набор правил.
При обнаружении в трафике условий, заданных в правиле из включенного набора, приложение регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000003000 – для события при срабатывании правила из системного набора правил;
- 4000003001 – для события при срабатывании правила из пользовательского набора правил.
Пользовательские наборы правил могут содержать правила, полученные из других систем обнаружения и предотвращения вторжений. При обработке таких правил приложение не выполняет заданные в них действия, применяющиеся по отношению к сетевым пакетам (например, действия drop и reject). В результате срабатывания правил обнаружения вторжений в Kaspersky Anti Targeted Attack Platform выполняется только регистрация событий.
Значения оценок событий Kaspersky Anti Targeted Attack Platform соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).
Соответствие приоритетов правил и значений оценок событий
Значения приоритетов в правилах обнаружения вторжений |
Значения оценок событий Kaspersky Anti Targeted Attack Platform |
|---|---|
4 и более |
2.5 |
3 |
4.5 |
2 |
6.5 |
1 |
9 |
Настройка параметров регистрации событий обнаружения вторжений выполняется в разделе Параметры → Типы событий.
Вы можете просмотреть события обнаружения вторжений в таблице зарегистрированных событий.
В режиме распределенного решения и мультитенантности пользовательские правила обнаружения вторжений могут быть одного из следующих типов:
- Созданные на сервере PCN. По этим правилам производится проверка трафика на сервере PCN.
- Созданные на сервере SCN. По этим правилам производится проверка трафика на сервере SCN.
Пользователи с ролью Старший сотрудник службы безопасности могут загружать, включать и выключать пользовательские наборы правил обнаружения вторжений, а также добавлять правила обнаружения вторжений "Лаборатории Касперского" в исключения из проверки. Пользователи с ролью Аудитор могут просматривать пользовательские наборы правил обнаружения. У пользователей с ролью Сотрудник службы безопасности нет доступа к пользовательским правилам обнаружения вторжений.