Для использования сигнатуры СОВ устройством необходимо создать профиль СОВ, включающий эту сигнатуру, и добавить созданный профиль в разрешающее правило межсетевого экрана.

Cигнатуры СОВ в UserGate NGFW делятся на пользовательские сигнатуры, которые вы можете создавать в веб-консоли устройства, и проприетарные сигнатуры, разрабатываемые компанией UserGate и поставляемые в рамках лицензии на модуль Security Updates.

Для проприетарных сигнатур вы можете настраивать некоторые параметры (например, изменять действие при срабатывании сигнатуры). Это может понадобиться для адаптации таких сигнатур под сетевую инфраструктуру организации. При необходимости вы можете восстановить исходные значения параметров проприетарных сигнатур, установленные экспертами UserGate.

Просмотр списка сигнатур

В разделе Настройки ➜ Библиотеки ➜ Сигнатуры СОВ отображается список доступных сигнатур СОВ.

Для каждой сигнатуры в таблице отображаются следующие параметры.

Параметр	Описание
Уровень угрозы	Уровень опасности угрозы (от 1 до 5, где 1 — очень низкий уровень), который определяет степень потенциального ущерба ИТ-инфраструктуре при срабатывании сигнатуры
Id	Идентификатор сигнатуры
Статус	Статус параметров проприетарной сигнатуры: По умолчанию — значения параметров сигнатуры соответствуют значениям, установленным экспертами UserGate; Изменено — значения параметров сигнатуры изменены администратором устройства
Журналирование	Статус журналирования срабатываний сигнатуры: Журналируется — журналирование включено в свойствах сигнатуры, записи о ее срабатывании отображаются в Журнале СОВ; Не журналируется — журналирование отключено в свойствах сигнатуры
Свойства сигнатуры	По нажатию на значок в столбце параметра открывается карточка выбранной сигнатуры
Название сигнатуры	Название сигнатуры, указанное при ее создании
Действие	Действие при срабатывании сигнатуры: Нет — маркировка пакета или проверка наличия метки, установленной другой сигнатурой. Используется для сигнатур, связанных через конструкцию `.mark set\|test`. Подробнее — в разделе «Работа с метками». Пропустить — разрешение передачи трафика. Отбросить — запрет передачи трафика. Сбросить — запрет передачи трафика и разрыв TCP-соединения с его источником. Блокировать IP — блокирование IP-адреса источника и (или) назначения трафика
Операционная система сигнатуры	Операционная система, для которой разработана сигнатура
Протокол	Сетевой протокол соединений, к которым применима сигнатура
Дата создания	Дата создания сигнатуры. Параметр доступен начиная с версии 7.5.0
Дата модификации	Дата изменения сигнатуры. Параметр доступен начиная с версии 7.5.0
Класс	Класс сигнатуры, который определяет тип угрозы по срабатыванию этой сигнатуры. Ниже в этом разделе перечислены классы сигнатур в UserGate NGFW
References	Идентификаторы уязвимости, на которую указывает срабатывание сигнатуры, согласно реестрам CVE и BDU
Категория	Категория сигнатуры, в которую объединяются сигнатуры с общими параметрам. Ниже в этом разделе перечислены категории сигнатур в UserGate NGFW
PCAP включен	Запись копии трафика (трассировка) при срабатывании сигнатуры: Включено — трассировка выполняется, результат записывается в файл формата PCAP; Отключено — трассировка не выполняется
Владелец	Разработчик сигнатуры. Для проприетарных сигнатур отображается UserGate, для пользовательских — You
Описание	Описание сигнатуры, указанное при ее создании. Для проприетарных сигнатур отображается описание угрозы, на которую указывает срабатывание сигнатуры. Описание может включать сведения об уязвимостях в инфраструктуре организации, а также механику проведения и последствия атаки, использующей эти уязвимости. По умолчанию в таблице сигнатур столбец Описание скрыт

В таблице сигнатур вы можете:

изменять набор столбцов в контекстном меню Столбцы, доступном по нажатию справа от заголовка столбца;
изменять ширину столбцов;
изменять порядок следования столбцов, перемещая заголовок столбца;
сортировать данные по нажатию на заголовки столбцов (не все столбцы поддерживают функцию сортировки).

Кроме того, вы можете фильтровать данные в таблице, выбрав один из следующих режимов:

Простой — с помощью доступных параметров. Например, фильтрация по состоянию сигнатур (true — включено, false — отключено), уровню опасности угрозы, действию при срабатывании, а также владельцу сигнатур. Для выбора параметров используются соответствующие кнопки в панели инструментов. В раскрывающемся списке по кнопке Еще вы также можете выбирать дополнительные параметры фильтрации, устанавливая соответствующие флажки.
Расширенный — с помощью специальных запросов на языке фильтрации. Для ввода запросов используется строка фильтрации.

Вы можете управлять сигнатурами в таблице:

Включать и отключать их состояние (по кнопкам Включить и Отключить соответственно).
Создавать пользовательские сигнатуры (по кнопке Добавить).
Изменять параметры сигнатур (по кнопке Редактировать). После изменения параметров проприетарных сигнатур вы можете восстановить значения этих параметров, установленные по умолчанию (по кнопке Восстановить по умолчанию).
Просматривать информацию о сигнатуре в ее карточке (по нажатию на значок в столбце Свойства сигнатуры для выбранной сигнатуры).

Создание пользовательской сигнатуры

ПримечаниеНиже приведена инструкция по созданию пользовательской сигнатуры в веб-консоли UserGate NGFW, аналогичная инструкция для интерфейса командной строки устройства приведена в разделе «Настройка библиотек».

Чтобы создать сигнатуру:

1. В разделе Настройки ➜ Библиотеки ➜ Сигнатуры СОВ нажмите Добавить.

2. На вкладке Общие выполните следующие действия:

Активируйте сигнатуру, установив флажок Включено.
Если необходимо, укажите идентификатор сигнатуры, выбрав одно из доступных значений. При незаполненном поле идентификатор будет сгенерирован автоматически.
Укажите название и при необходимости описание сигнатуры.
Выберите уровень опасности угрозы по срабатыванию сигнатуры (от 1 до 5, где 1 — очень низкий уровень).
При необходимости выберите класс сигнатуры, определяющий тип угрозы по срабатыванию этой сигнатуры. Ниже в этом разделе перечислены классы сигнатур в UserGate NGFW.
При необходимости выберите категорию сигнатуры, в которую объединяются сигнатуры с общими параметрам. Ниже в этом разделе перечислены категории сигнатур в UserGate NGFW.
При необходимости укажите ОС, для которой создается сигнатура. Вы можете выбрать несколько значений.
При необходимости укажите идентификатор уязвимости, на которую указывает срабатывание сигнатуры, согласно реестру CVE.
При необходимости укажите идентификатор уязвимости, на которую указывает срабатывание сигнатуры, согласно реестру BDU.
При необходимости укажите адрес ресурса с описанием уязвимости, на которую указывает срабатывание сигнатуры, в формате https://<адрес ресурса>, например https://example.com.

3. На вкладке UASL и настройки выполните следующие действия:

В поле UASL укажите параметры сигнатуры с помощью синтаксиса UASL.
Выберите действие, выполняемое при срабатывании сигнатуры.

Для сигнатуры с действием Нет вы можете указывать параметры только в поле UASL, остальные поля недоступны для настройки.

Если не требуется записывать информацию о срабатываниях сигнатуры в Журнал СОВ, отключите журналирование. По умолчанию журналирование включено.
Если при срабатывании сигнатуры требуется сохранять копию трафика в виде файла формата PCAP, включите трассировку трафика в поле Файл PCAP. По умолчанию трассировка отключена.
Для сигнатуры с действием Сбросить или Блокировать IP выберите направление трафика, к которому будет применяться сигнатура:
- Источник — от клиента к серверу;
- Назначение — от сервера к клиенту;
- Оба — в обоих направлениях.
Для сигнатуры с действием Блокировать IP выберите режим блокировки IP-адресов при срабатывании сигнатуры:
- Всегда — постоянная блокировка;
- На время — блокировка в течение указанного времени.

4. Нажмите Проверить сигнатуру для проверки синтаксиса UASL.

Результат проверки отобразится в отдельном окне.

5. Нажмите Закрыть.

6. Если в синтаксисе UASL содержатся ошибки, исправьте их и повторите проверку.

7. Нажмите Сохранить.

Настройка проприетарной сигнатуры

Чтобы настроить проприетарную сигнатуру:

1. Выберите сигнатуру в таблице и нажмите Редактировать.

2. Настройте параметры сигнатуры:

Состояние сигнатуры.
Действие, выполняемое при срабатывании.
Журналирование срабатываний.
Трассировку трафика при срабатывании.
Направление трафика, к которому применяется сигнатура. Доступно только для действий Сбросить и Блокировать IP.
Время блокировки IP-адресов при срабатывании. Доступно только для действия Блокировать IP. Для постоянной блокировки необходимо установить значение 0.

В некоторых проприетарных сигнатурах указаны параметры агрегации (суммирования) срабатываний этих сигнатур:

Частота срабатывания — количество срабатываний сигнатуры за указанный период времени (в секундах). Например, если указано «5 срабатываний за 10 секунд», UserGate NGFW пропустит первые четыре срабатывания сигнатуры и выполнит выбранное действие только при пятом срабатывании.
Направление — направление агрегирования срабатываний сигнатуры:
- IP источника — суммируются срабатывания сигнатуры для каждого уникального IP-адреса клиента (источника трафика).
- IP назначения — суммируются срабатывания сигнатуры для каждого уникального IP-адреса сервера (назначения трафика).

При необходимости вы можете изменить параметры агрегации. Это может понадобиться для снижения количества ложных срабатываний сигнатур, которые обнаруживают массовые атаки, например такие, как брутфорс (см. сигнатуру с id = 17002) или DoS (см. сигнатуру с id = 3040443).

3. Нажмите Сохранить.

Классы сигнатур в UserGate NGFW

Сигнатуры СОВ в UserGate NGFW классифицируются по типу угрозы, на которую указывают их срабатывания (например, запуск произвольного кода, сетевая разведка или атака на веб-приложение). Эта классификация определяет, как именно срабатывание сигнатуры влияет на ИТ-инфраструктуру, и позволяет администраторам эффективно управлять безопасностью.

В таблице ниже перечислены классы, используемые в проприетарных сигнатурах UserGate. При создании пользовательских сигнатур вы можете использовать только основные классы из этого перечня.

Класс сигнатуры	Описание угрозы
arbitrary-code-execution	Попытка выполнения произвольного кода
arbitrary file access	Попытка доступа к произвольным файлам
attempted-admin	Попытка получения прав администратора
attempted-dos	Попытка DoS-атаки
attempted-recon	Попытка сетевой разведки
attempted-user	Попытка получения прав пользователя
authentication bypass	Попытка обхода аутентификации
backdoor	Обход стандартных механизмов аутентификации
bad-unknown	Потенциально вредоносный трафик
bruteforce	Атака брутфорс
buffer overflow	Атака через переполнение буфера
c2-activity	Активность, указывающая на подключение к командному центру злоумышленника
code injection	Попытка внедрения кода
command injection	Попытка внедрения системных команд
command-and-control	Попытка подключения к командному центру злоумышленника
csrf	Попытка выполнения несанкционированных действий от имени авторизованного пользователя
default-login-attempt	Попытка входа с учетными данными по умолчанию
denial-of-service	DoS-атака
deseriallization	Попытка удаленного выполнения кода (RCE), связанного с десериализацией параметров
evasion	Попытка обхода злоумышленником механизмов защиты СОВ
exploit-kit	Использование злоумышленником набора инструментов для эксплуатации уязвимостей
file transfer	Попытка передачи файлов определенных типов
hardcoded credentials	Попытка использования злоумышленником встроенных учетных данных
information disclosure	Попытка получения конфиденциальных данных
local file inclusion	Попытка доступа к локальным файлам сервера
memory corruption	Попытка атаки через повреждение памяти
misc	Активность, не относящаяся к другим классам
misc activity	Потенциально опасная или опасная активность, не относящаяся к другим классам
misc attack (или misc-attack)	Попытка атаки, не относящейся к другим классам
misc scan	Попытка сканирования сети и поиска уязвимостей
network scan (или network-scan)	Сканирование сети на наличие активных узлов и открытых портов
null pointer dereference	Попытка атаки через ошибки обращения к памяти
out of bounds access	Попытка атаки через переполнение или чтение памяти
path traversal	Попытка атаки через обход пути к файлам на сервере
policy-violation	Нарушение сетевых политик
privilege escalation	Попытка повышения привилегий
protocol-command	Попытка использования нестандартных или вредоносных команд протокола
protocol-command-decode	Попытка использования команд протокола в закодированном виде
remote file inclusion	Попытка удаленного внедрения файлов
service scan	Попытка сканирования сетевых сервисов и их версий
shellcode	Попытка передачи шелл-кода для получения управления системой
shellcode-detect	Попытка использования исполняемого кода (шелл-кода)
sql injection	Попытка SQL-внедрения
ssrf	Попытка подделки запросов на стороне сервера
string-detect	Использование подозрительных строк
successful-recon-limited	Сетевая разведка ограниченного масштаба
suspicious-filename-detect	Использование подозрительного имени файла
suspicious-login	Попытка входа с использованием подозрительного имени пользователя
system-call-detect	Попытка использования системных вызовов
targeted-activity	Активность, указывающая на проведение целенаправленной атаки
trojan	Активность, указывающая на работу вредоносного ПО
trojan-activity	Использование вредоносного ПО
uncaught exception	Попытка вызова программных ошибок
uncontrolled resource consumption	Попытка исчерпания системных ресурсов
use after free	Попытка обращения к освобожденным участкам памяти
vulnerability scan	Сканирование сети на наличие уязвимостей
web-application-activity	Активность, связанная с работой веб-приложений
web-application-attack	Атака через уязвимости веб-приложений
worm	Активность, указывающая на работу самораспространяющегося вредоносного ПО (сетевого червя)
xml injection	Попытка XML-внедрения
xss	Попытка внедрения вредоносного сценария в веб-приложение

Список классов сигнатур постоянно пополняется экспертами UserGate.

Категории сигнатур в UserGate NGFW

В UserGate NGFW сигнатуры с общими параметрами объединяются в категории по их функциональному назначению.

В таблице ниже перечислены категории, используемые в проприетарных сигнатурах UserGate. При создании пользовательских сигнатур вы можете использовать только основные категории из этого перечня.

Категория сигнатур	Функциональное назначение
activex	Защита от использования уязвимостей ActiveX
adware pup	Поиск рекламного и нежелательного ПО
attack response	Выявление в ответах сервера признаков проведенных атак
authentication-failures	Обнаружение подбора учетных данных
authentication-failures,Apache	Обнаружение подбора учетных данных к веб-серверу Apache
authentication-failures,ICS/IoT	Обнаружение подбора учетных данных в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
broken-access-control	Выявление обхода прав доступа
broken-access-control,ICS/IoT	Выявление обхода прав доступа в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
bruteforce	Обнаружение брутфорса
coinminer	Выявление скрытого майнинга
dns	Обнаружение угроз в трафике DNS
dos	Обнаружение DoS-атак
dos,Apache	Обнаружение DoS-атак на веб-сервер Apache
dos,ICS/IoT (или ICS/IoT,dos)	Обнаружение DoS-атак на промышленные системы управления (ICS) и устройства интернета вещей (IoT)
dos,smtp	Обнаружение DoS-атак на почтовые серверы
exploit	Обнаружение использования известных уязвимостей
exploit kit	Выявление наборов инструментов для эксплуатации уязвимостей
ftp	Обнаружение угроз в трафике FTP
icmp	Обнаружение угроз в трафике ICMP
ICS/IoT	Обнаружение угроз в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
imap	Обнаружение угроз в трафике IMAP
info	Выявление утечки конфиденциальных данных
injection	Обнаружение внедрения данных
injection,Apache	Обнаружение внедрения данных на стороне веб-сервера Apache
injection,ftp	Обнаружение внедрения данных в трафике FTP
injection,ICS/IoT	Обнаружение внедрения данных в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
injection,scan	Выявление сканирования сети на наличие уязвимостей, используемых для внедрения данных
injection,smb	Обнаружение внедрения данных в трафике SMB
injection,smtp	Обнаружение внедрения данных в трафике SMTP
integrity-failures	Выявление нарушений целостности данных или ПО
integrity-failures,Apache	Выявление нарушений целостности данных или конфигурации веб-сервера Apache
integrity-failures,ICS/IoT	Выявление нарушений целостности данных или ПО в промышленных системах управления (ICS) и устройствах интернета вещей (IoT)
integrity-failures,injection	Обнаружение внедрений, нарушающих целостность данных или ПО
ldap	Обнаружение угроз в трафике LDAP
malware	Обнаружение вредоносного ПО
malware,wmi	Обнаружение вредоносной активности, использующей инструменты WMI
misc	Обнаружение прочих угроз
misc,ICS/IoT	Обнаружение прочих угроз в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
misc,smtp	Обнаружение прочих угроз в трафике SMTP
netbios	Обнаружение угроз в трафике NetBIOS
p2p	Обнаружение активности пиринговых сетей и протоколов
phishing	Обнаружение активности, связанной с фишингом
policy	Выявление нарушения политик безопасности
pop3	Обнаружение угроз в трафике POP3
request-forgery	Обнаружение подделки запросов
request-forgery,ICS/IoT	Обнаружение подделки запросов в трафике промышленных систем управления (ICS) и устройств интернета вещей (IoT)
rpc	Обнаружение угроз в трафике RPC
scada	Обнаружение угроз в трафике систем управления SCADA
scan	Обнаружение активности по сканированию сети и поиску уязвимостей
shellcode	Обнаружение внедрения шелл-кода
sip	Обнаружение угроз в трафике SIP
smb	Обнаружение угроз в трафике SMB
smtp	Обнаружение угроз в трафике SMTP
snmp	Обнаружение угроз в трафике SNMP
sql	Обнаружение угроз в трафике баз данных
telnet	Обнаружение угроз в трафике Telnet
tftp	Обнаружение угроз в трафике TFTP
user agents	Выявление подозрительных идентификаторов браузеров и приложений
voip	Обнаружение угроз в трафике протоколов IP-телефонии (VoIP)
web client	Обнаружение атак на веб-браузеры и клиентские приложения
web server	Обнаружение атак на веб-серверы и серверные приложения
web specific apps	Обнаружение атак на веб-приложения
worm	Обнаружение самораспространяющегося вредоносного ПО (сетевого червя)