|
|
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Создать группу почтовых адресов
|
В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе.
|
|
Шаг 2. Добавить почтовые адреса в группу
|
Выделить созданную группу, нажать на кнопку Добавить на панели Почтовые адреса и добавить необходимые почтовые адреса.
|
Администратор имеет возможность создавать обновляемые списки почтовых адресов и централизованно распространять их на устройства UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Создать файл с необходимыми списком почтовых адресов.
|
Создать файл list.txt со списком почтовых адресов.
|
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
|
Шаг 5. Создать список почтовых адресов и указать URL для обновления.
|
На каждом UserGate создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Администратор может экспортировать и импортировать списки почтовых адресов используя соответствующие кнопки Экспорт/Импорт.
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Создать группу телефонных номеров
|
В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе.
|
|
Шаг 2. Добавить номера телефонов в группу
|
Выделить созданную группу, нажать на кнопку Добавить на панели Группа телефонных номеров и добавить необходимые номера.
|
Администратор имеет возможность создавать обновляемые списки телефонных номеров и централизованно распространять их на устройства UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Создать файл с необходимыми списком номеров.
|
Создать файл list.txt со списком номеров.
|
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
|
Шаг 5. Создать список телефонных номеров и указать URL для обновления.
|
На каждом UserGate создать список номеров. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Администратор может экспортировать и импортировать списки телефонных номеров используя соответствующие кнопки Экспорт/Импорт.
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
-
SMTP, доставка сообщений с помощью email;
-
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
|
Наименование
|
Описание
|
|
Название
|
Название профиля.
|
|
Описание
|
Описание профиля.
|
|
Хост
|
IP-адрес сервера SMTP, который будет использоваться для отсылки почтовых сообщений.
|
|
Порт
|
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера.
|
|
Безопасность
|
Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL.
|
|
Аутентификация
|
Включает аутентификацию при подключении к SMTP-серверу.
|
|
Логин
|
Имя учетной записи для подключения к SMTP-серверу.
|
|
Пароль
|
Пароль учетной записи для подключения к SMTP-серверу.
|
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
|
Наименование
|
Описание
|
|
Название
|
Название профиля.
|
|
Описание
|
Описание профиля.
|
|
Хост
|
IP-адрес сервера SMPP, который будет использоваться для отсылки SMS сообщений.
|
|
Порт
|
Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL - 3550.
|
|
SSL
|
Использовать или нет шифрацию с помощью SSL.
|
|
Логин
|
Имя учетной записи для подключения к SMPP-серверу.
|
|
Пароль
|
Пароль учетной записи для подключения к SMPP-серверу.
|
|
Правила трансляции номеров
|
В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8.
|
Элемент библиотеки Категории срабатываний позволяет создать категории, по которым можно группировать определенные срабатывания правил аналитики, применяемые к событиям. Более подробно о правилах аналитики смотрите в разделе Аналитика. По умолчанию создаются категории:
-
Availability - правила аналитики, определяющие инциденты, приводящие к ухудшению доступности информационных систем.
-
Performance - правила аналитики, определяющие инциденты, приводящие к ухудшению производительности информационных систем.
-
Security - правила аналитики, определяющие инциденты, приводящие к ухудшению безопасности информационных систем.
Внешние сервисы обогащений
В данном элементе библиотеки представлены ресурсы, с помощью которых происходит дополнительный сбор информации об угрозах. С данных источников приходят фиды - структурированные проанализированные данные об IP-адресах и доменах, с которых происходит распространение вредоносных файлов, их сэмплы и хэши; списки фишинговых сайтов, почтовые адреса отправителей фишинговых писем; адреса, с которых происходит сканирование сетей с целью обнаружения уязвимостей; IP-адреса, с которых проводятся атаки типа брутфорс; сигнатуры для обнаружения вредоносного программного обеспечения.
Чтобы использовать сервисы обогащения их необходимо включить. Для использования некоторых сервисов обогащения необходимо прохождение регистрации и предоставление ключа доступа.
|
Наименование
|
Описание
|
|
dnsgoogle
|
Интернет-сервис компании Google, представляющий собой общедоступные DNS-серверы.
Подробнее: https://dns.google.
Предназначен для типов улик: IP.
|
|
urlhaus
|
Проект abuse.ch. Целью проекта является сбор, отслеживание и обмен URL-адресами вредоносных программ.
Подробнее: https://urlhaus.abuse.ch/.
Предназначен для типов улик: Домен, Хэш, Имя хоста, IP, URL.
|
|
dshield
|
Система корреляции журналов межсетевого экрана для совместной работы. Система получает журналы от добровольцев со всего мира и использует их для анализа тенденций атак.
Подробнее: https://www.dshield.org/xml.html.
Предназначен для типов улик: Домен, FQDN, IP.
|
|
cybercrime
|
Сервис предоставляет информацию об уровнях угрозы разных объектов.
Подробнее: http://cybercrime-tracker.net.
Предназначен для типов улик: Домен, FQDN, IP, URL, Другое.
|
|
cyberprotect
|
Сервис предоставляет информацию об уровнях угрозы разных объектов.
Подробнее: https://console.threatscore.cyberprotect.cloud/.
Предназначен для типов улик: Домен, Хэш, IP, URL, Агент пользователя.
|
|
unshorten
|
Сервис предоставляет возможности предварительного просмотра целевого URL для любого короткого URL и проверки безопасности на вредоносные ссылки. Сервис не использует внешний ресурс; анализирует ответ на запрос по тестируемому URL.
Предназначен для типов улик: URL.
|
|
ipwhois
|
Сервис позволяет получить информацию об IP-адресах.
Подробнее: https://ipwhois.io/.
Предназначен для типов улик: IP.
|
|
ipinfo
|
Инструмент для определения владельца, Интернет-провайдера и местонахождения веб-сайта, домена или IP-адреса.
Подробнее: https://ipinfo.io/.
Предназначен для типов улик: IP.
Для использования сервиса необходимо ввести реквизиты.
|
|
hashdd
|
Сервис предоставляет базу вредоносных хэшей файлов и различные проверки для получения полного представления об угрозе.
Подробнее: https://hashdd.com/.
Предназначен для типов улик: Хэш.
Для использования сервиса необходимо ввести реквизиты.
|
|
urlscan
|
Сервис для получения информации о подозрительных, вредоносных и фишинговых URL.
Подробнее: https://urlscan.io/.
Предназначен для типов улик: Домен, FQDN, Хэш, IP, URL.
Для использования сервиса необходимо ввести реквизиты.
|
|
emailrep
|
Система, которая собирает данные об адресах электронной почты, доменах и пользователях.
Подробнее: https://emailrep.io/.
Предназначен для типов улик: Почта.
Для использования сервиса необходимо ввести реквизиты.
|
|
greynoise
|
Компания занимается анализом фонового шума Интернета (пакеты данных, адресованные IP-адресам или портам, где нет сетевого устройства, настроенного для их приёма). Благодаря такой фильтрации снижается количество ложных срабатываний.
Подробнее: https://www.greynoise.io/.
Предназначен для типов улик: IP.
Для использования сервиса необходимо ввести реквизиты.
|
|
abuseip
|
Проект, который занимается борьбой со злоумышленной деятельностью.
Подробнее: https://www.abuseipdb.com/.
Предназначен для типов улик: IP.
Для использования сервиса необходимо ввести реквизиты.
|
|
hybridanalysis
|
Сервис проверки файлов на вредоносность.
Подробнее: https://www.hybrid-analysis.com/.
Предназначен для типов улик: Хэш.
Для использования сервиса необходимо ввести реквизиты.
|
Данный раздел содержит приложения, которые могут быть использованы в правилах syslog для сбора информации.
Чтобы добавить приложение необходимо выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Создать приложение.
|
Нажать кнопку Добавить и указать название и описание приложения.
|
|
Шаг 2. Указать приложение.
|
Указать название приложения, для которого будут применены правила syslog.
|
|
