Создание и применение профилей СОВ

Пример создания и применения профиля СОВ. 

Создание профиля СОВ

Для создания профиля СОВ необходимо выполнить следующие шаги:

1. В веб-консоли администратора NGFW перейдите в раздел Настройки ➜ Библиотеки ➜ Профили СОВ и нажмите кнопку Добавить на панели инструментов.

2. В открывшемся окне Свойства профиля СОВ на вкладке Общие укажите название профиля.

3. В блоке Фильтры нажмите кнопку Добавить на панели инструментов.

4. В открывшемся окне Свойства фильтра настраиваются параметры фильтрации сигнатур СОВ из библиотеки сигнатур. Для примера выберите следующее:

• Нажав кнопку Все, выберите параметры Высокий и Очень высокий.

• Нажав кнопку Еще, выберите Операционная система сигнатуры, Протокол, Категория.

• Нажав кнопку Операционная система сигнатуры, выберите Linux.

• Нажав кнопку Протокол, выберите HTTP.

• Нажав кнопку Категория, выберите exploit, injection.

5. Нажмите на кнопку Расширенный на панели инструментов и проверьте строку получившегося фильтра:

threat IN (‘medium’,’high’,’very high’) AND (protocol = ‘http’) AND (category IN (‘exploit’,’injection)) AND (os = ‘Linux’)

6. Нажмите на кнопку Сохранить для создания фильтра.

7. В одном профиле может быть несколько фильтров одновременно. Для создания дополнительного фильтра нажмите кнопку Добавить в блоке Фильтры. Сигнатуры можно искать по номеру их идентификатора. Для примера в открывшемся окне Свойства фильтра нажмите Расширенный на панели инструментов и в строке поиска сигнатур напишите:

id = 9001

Должна отобразиться сигнатура "DNSmasq RR Record Heap Buffer Overflow" с идентификатором 9001. Нажмите на кнопку Сохранить для создания фильтра. 

8. Проверьте, что в окне Свойства профиля СОВ в блоке Фильтры теперь отображаются оба созданных фильтра. 

9. На вкладке Совпавшие сигнатуры будут отображаться сигнатуры, выбранные с помощью созданных ранее фильтров этого профиля. Для каждой из этих сигнатур можно переопределить параметры действия, журналирования и трассировки. Для этого необходимо выбрать сигнатуру указателем мыши, нажать правую кнопку в поле Действие и выбрать в контекстном меню Переопределить. В окне переопределения параметров сигнатуры выберите необходимые параметры. 

Если необходимо одинаковым образом переопределить параметры всех совпавших сигнатур, нажмите на кнопку Выделить все на панели инструментов, затем нажмите на кнопку Переопределить там же на панели инструментов и далее выберите необходимые параметры для сигнатур.

Нажмите на кнопку Сохранить для закрытия окна Переопределение сигнатуры и применения параметров.

Убедитесь в том, что в интерфейсе в соответствующих полях изменились значения параметров для всех сигнатур.

10. Нажмите на кнопку Сохранить для создания профиля СОВ.

Применение профиля СОВ

Чтобы применить созданный профиль СОВ, его необходимо добавить в разрешающее правило межсетевого экрана. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур такого профиля будет произведено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования.

1. Для применения профиля в веб-консоли администратора NGFW перейдите в раздел Настройки ➜ Политики сети ➜ Межсетевой экран, выберите разрешающее правило межсетевого экрана и нажмите Редактировать в панели инструментов.

2. В открывшемся окне Свойства правила межсетевого экрана на вкладке Общие в поле Профиль СОВ выберите созданный ранее профиль.

3. Нажмите на кнопку Сохранить, чтобы применить изменение правила.