Сценарии

Для чего нужны сценарии

UserGate NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время.

Примером работы сценариея может быть задача по ограничению на определенное время пропускной спообности для пользователя, который выбрал установленный лимит трафика.

Настройка сценариев

Для начала работы со сценариями необходимо выполнить следующие шаги:

1. Создать сценарий. 

2. Применить созданный сценарий в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS.

В веб-консоли администратора сценарии создаются в разделе Библиотеки элементов ➜ Сценарии.

При создании сценария необходимо указать следующие параметры:

• Включено — Включает или отключает сценарий.

• Название — Название сценария.

• Описание — Описание сценария.

• Применить для — Параметр, отвечающий за количество пользователей в правиле, к которым будет применен сценарий. Возможны варианты:

  • Одного пользователя — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.

  • Всех пользователей — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.

• Продолжительность — длительность работы ограничивающего правила, в котором сработал сценарий.

На вкладке Условия задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать механизм срабатывания сценария — совпадение хотя бы одного из указанных условий, или всех условий.

Настройка условий срабатывания сценариев

Возможны следующие условия срабатывания для использования в сценарии:

• Категория URL — совпадения указанных категорий UserGate URL в трафике пользователя.

• Обнаружен вирус — факт обнаружения вируса.

• Приложение — обнаружено указанное приложение в трафике пользователя.

• СОВ — срабатывание системы обнаружения вторжений.

• Типы контента — обнаружены указанные типы контента в трафике пользователя.

• Объем трафика — объем трафика пользователя превысил определенный лимит за указанную единицу времени.

• Проверка состояния — проверка состояния какого-либо ресурса, который должен быть доступен с NGFW. Проверка может осуществляться с помощью команды icmp ping, запроса DNS или выполнения HTTP GET.

Категория URL

Условием срабатывания в данном случае является совпадения указанных категорий UserGate URL в трафике пользователя.

В данном условии настраиваются следующие параметры:

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария;

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

• Выбор категорий сайтов из библиотеки элементов или создание списка с категориями сайтов из имеющихся в библиотеке элементов.

• Проверить URL — возможность проверки конкретного URL на соответствие той или иной категории.

Обнаружен вирус

Условием срабатывания в данном случае является обнаружение вируса в трафике пользователя.

Приложение

Условием срабатывания в данном случае является обнаружение определенных приложений в трафике пользователя.

В данном условии настраиваются следующие параметры:

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария;

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

• Выбор групп или категорий приложений из библиотеки элементов.

СОВ

Условием срабатывания в данном случае является детектирование системой СОВ угрозы определенного уровня.

Типы контента

В данном условии настраиваются следующие параметры:

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария;

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

• Выбор типов контента из библиотеки элементов.

Объем трафика

Условие срабатывания сценария по объему прошедшего трафика через NGFW.

В данном условии настраиваются параметры:

• Введите размер — предельный объем трафика, прошедшего через NGFW, при котором сработает сценарий. 

• Период — промежуток времени за который будет посчитан объем проходящего трафика.

Т.е. если будет выбран 5 ГБ за день, то при превышении 5 ГБ трафика пользователем за 1 день, сработает данный сценарий.  

Проверка состояния

Условия срабатывания сценарии зависят от состояния сервера, запрос к которому идет с NGFW. 

Возможны следующие методы проверки состояния сервера:

• Ping;

• DNS;

• HTTP GET.

Метод Ping. 

В данном условии настраиваются следующие параметры:

• Адрес — IP-адрес для выполнения ICMP ping c NGFW.

• Шлюз — шлюз.

• Результат — отрицательный или положительный. Определяет, какой результат будет ожидаться от пинга сервера. Отрицательный — нет ответа по ping, положительный — ответ есть.

• Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария;

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

Метод DNS.

В данном условии настраиваются следующие параметры:

• Адрес — это ip адрес DNS сервера, на который посылаем DNS запросы с NGFW.

• FQDN запроса — доменное имя сервера, которое разрешается в рамках проверки доступности.

• Шлюз — шлюз.

• Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный  — нет ответа, положительный — ответ есть.

• Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.

• Тип DNS-запроса — тип DNS-запроса (a, aaaa, cname, ns, ptr).

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария.

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

Тип HTTP GET

В данном условии настраиваются следующие параметры:

• Адрес — домен для выполнения HTTP GET c NGFW.

• Шлюз — шлюз.

• Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный  — нет ответа, положительный — ответ есть.

• Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.

• Тайм-аут ответа — тайм-аут ответа для проверки выполнением  HTTP GET.

• Количество срабатываний — количество срабатываний, после которых активируется условие сценария.

• За интервал — интервал, в течение которого будет считаться количество срабатываний.

Пример использования сценариев

Как пример, сценарии могут использоваться в правилах межсетевого экрана для ограничения доступа в сеть, если происходит какое-либо событие, описанное в сценарии.

В данном примере реализуется следующий сценарий: для подключенных к NGFW узлов должно работать правило межсетевого экрана, блокирующее доступ в сеть на 5 минут, если на этом узле было скачано за 1 минуту 250 МБ трафика и более. В ином случае доступ в сеть через NGFW должен быть разрешен.

Создан сценарий с условием срабатывания по объему прошедшего трафика:

В межсетевом экране создано блокирующее правило, в которое добавлен созданный сценарий:

Верхнее блокирующее правило Block by traffic в межсетевом экране имеет более высокий приоритет по отношению к нижнему разрешающему правилу Allow all, но оно сработает только в случае срабатывания сценария по объему прошедшего трафика. В остальных случаях трафик будет разрешен правилом Allow all.