ID статьи: 1519
Последнее обновление: 08 окт, 2024
Product: NGFW Version: 7.1.x
Для чего нужны сценарииUserGate NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время. Примером работы сценариея может быть задача по ограничению на определенное время пропускной спообности для пользователя, который выбрал установленный лимит трафика. Настройка сценариевДля начала работы со сценариями необходимо выполнить следующие шаги:
В веб-консоли администратора сценарии создаются в разделе Библиотеки элементов ➜ Сценарии. При создании сценария необходимо указать следующие параметры:
На вкладке Условия задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать механизм срабатывания сценария — совпадение хотя бы одного из указанных условий, или всех условий. Настройка условий срабатывания сценариевВозможны следующие условия срабатывания для использования в сценарии:
Категория URLУсловием срабатывания в данном случае является совпадения указанных категорий UserGate URL в трафике пользователя. В данном условии настраиваются следующие параметры:
Обнаружен вирусУсловием срабатывания в данном случае является обнаружение вируса в трафике пользователя. ПриложениеУсловием срабатывания в данном случае является обнаружение определенных приложений в трафике пользователя. В данном условии настраиваются следующие параметры:
СОВУсловием срабатывания в данном случае является детектирование системой СОВ угрозы определенного уровня. Типы контентаВ данном условии настраиваются следующие параметры:
Объем трафикаУсловие срабатывания сценария по объему прошедшего трафика через NGFW. В данном условии настраиваются параметры:
Т.е. если будет выбран 5 ГБ за день, то при превышении 5 ГБ трафика пользователем за 1 день, сработает данный сценарий. Проверка состоянияУсловия срабатывания сценарии зависят от состояния сервера, запрос к которому идет с NGFW. Возможны следующие методы проверки состояния сервера:
Метод Ping. В данном условии настраиваются следующие параметры:
Метод DNS. В данном условии настраиваются следующие параметры:
Тип HTTP GET
В данном условии настраиваются следующие параметры:
Пример использования сценариевКак пример, сценарии могут использоваться в правилах межсетевого экрана для ограничения доступа в сеть, если происходит какое-либо событие, описанное в сценарии. В данном примере реализуется следующий сценарий: для подключенных к NGFW узлов должно работать правило межсетевого экрана, блокирующее доступ в сеть на 5 минут, если на этом узле было скачано за 1 минуту 250 МБ трафика и более. В ином случае доступ в сеть через NGFW должен быть разрешен. Создан сценарий с условием срабатывания по объему прошедшего трафика: В межсетевом экране создано блокирующее правило, в которое добавлен созданный сценарий:
Верхнее блокирующее правило Block by traffic в межсетевом экране имеет более высокий приоритет по отношению к нижнему разрешающему правилу Allow all, но оно сработает только в случае срабатывания сценария по объему прошедшего трафика. В остальных случаях трафик будет разрешен правилом Allow all.
Эта статья была:
Полезна |
Не полезна
Сообщить об ошибке
ID статьи: 1519
Последнее обновление: 08 окт, 2024
Ревизия: 21
Просмотры: 1112
Комментарии: 0
Теги
|