В пользовательском режиме (при вводе логина и пароля пользователя user) веб-интерфейс обладает ограниченной функциональностью и позволяет просматривать только сетевой журнал инцидентов, не имея других вкладок меню (Рисунок 84).
Рисунок 84
Вкладка Журналы является основным инструментом пользователя для мониторинга безопасности сети и выводит информацию обо всех произошедших инцидентах в виде таблице со столбцами (Рисунок 84):
• Дата и время инцидента – отображает дату и время наступившего события;
• Код инцидента – порядковый номер события в сетевом журнале;
• IP-адрес отправителя - IP-адрес, с которого была произведена атака (идентификатор субъекта атаки);
• Порт отправителя – порт, с которого была произведена атака;
• IP-адрес получателя - IP-адрес, указанный в качестве адреса назначения отправленного пакета (идентификатор объекта атаки);
• Порт получателя - порт, указанный в качестве порта назначения отправленного пакета;
• Протокол – протокол, используемый для проведения атаки;
• Имя класса правила – принадлежность правила, под которое попадает атака, к определенному классу (подробнее о классификации правил в Приложении);
• Критичность – определяет важность инцидента (приоритет), попавшего под определенное правило. Приоритет задается для класса правил (см. Приложение). Критичность имеет значения:
• Чрезвычайно высокая
• Высокая
• Средняя
• Низкая
• неизвестная
• Описание правила – подробная информация, уникальная для каждого правила. В столбце таблицы отображается только часть названия правила и, при наведении курсора всплывает окно с полным названием и SID правила (Рисунок 85).
Рисунок 85
Возможности:
• В столбцах Дата и время инцидента, Код инцидента, IP-адрес отправителя, Порт отправителя, IP-адрес получателя, Порт получателя, Описание правила можно выполнять сортировку по возрастанию/убыванию значения путем однократного нажатия на названии столбца.
• В конце строки описания правила расположена пиктограмма, нажав на которую появляется окно Детали правила (Рисунок 86), содержащее следующую информацию:
• Активно или не активно правило;
• SID – уникальный числовой идентификатор правила;
• Класс - принадлежность правила, под которое попадает атака, к определенному классу;
• Название – уникальный идентификатор правила в текстовом представлении;
• Расположение – указывает файл, где хранится правило, и точное место (номер строки) этого правила в файле;
• Определение правила – тело правила. Синтаксис правил описан в Приложении.
Рисунок 86
• Из выпадающего меню Выберите фильтр: (Рисунок 87) можно выбрать один из существующих фильтров инцидентов, либо создать новый, указав пункт <Создать новый фильтр>. Появится окно с настраиваемыми параметрами нового фильтра (Рисунок 88):
• Название фильтра
• Важность инцидентов (см. Приложение)
• Классы инцидентов (см. Приложение)
• Диапазон IP-адресов отправителя
• Диапазон IP-адресов получателя
• Диапазон портов отправителя
• Диапазон портов получателя
• Диапазон времени наступления инцидентов
Рисунок 87
Рисунок 88
После задания параметров нового фильтра, нажать кнопку Сохранить.
• Можно удалить текущий фильтр, нажав кнопку Удалить в окне Изменение фильтра. При этом выдается запрос на подтверждение операции (Рисунок 89), либо (Рисунок 90), если фильтр используется в e-mail уведомлениях (которые были настроены администратором).
Рисунок 89
Рисунок 90
Внимание! |
При удалении фильтра, используемого в e-mail уведомлениях, автоматически удаляются все записи уведомлений (для учетной записи администратора), связанные с этим фильтром. |
• При нажатии кнопки Обновить (Рисунок 92) происходит обновление списка инцидентов и в строке состояния отображается время последнего обновления, время запроса и период обновления.
• Если под выбранный фильтр не попадает ни одно событие, то при нажатии кнопки Обновить будет выдано уведомление (Рисунок 91).
Рисунок 91
• Автоматическое обновление происходит через заданный промежуток времени (период обновления) – по умолчанию каждые 5 минут, если администратор не выставил иное.
Рисунок 92
• При нажатии кнопки Редактировать (Рисунок 92) открывается окно Изменение фильтра (Рисунок 37) для редактирования текущих настроек выбранного фильтра. Если выбранный фильтр указан в e-mail уведомлениях, то в строке Название фильтра будет выдано предупреждение (Рисунок 93).
Рисунок 93
• Клик левой кнопкой мыши на любой строке сводной таблицы с записью об инциденте вызывает окно Информация о записи (Рисунок 94), содержащее подробную информацию о зафиксированном инциденте.
Рисунок 94
• При любом ожидании отклика веб-интерфейса выдается сообщение (Рисунок 95):
Рисунок 95
Для выхода из пользовательского режима нажмите предложение Выход в строке состояния (Рисунок 96).
Рисунок 96