Рисунок 33

Вкладка Сетевой журнал является основным инструментом администратора для мониторинга безопасности сети и выводит информацию обо всех произошедших инцидентах в виде таблице со столбцами (Рисунок 33):

•      Дата и время инцидента – отображает дату и время наступившего события;

•      Код инцидента – порядковый номер события в сетевом журнале;

•      IP-адрес отправителя - IP-адрес, с которого была произведена атака (идентификатор субъекта атаки);

•      Порт отправителя – порт, с которого была произведена атака;

•      IP-адрес получателя - IP-адрес, указанный в качестве адреса назначения отправленного пакета (идентификатор объекта атаки);

•      Порт получателя - порт, указанный в качестве порта назначения отправленного пакета;

•      Протокол – протокол, используемый для проведения атаки;

•   Имя класса правила – принадлежность правила, под которое попадает атака, к определенному классу (подробнее о классификации правил в Приложении);

•      Критичность – определяет важность инцидента (приоритет), попавшего под определенное правило. Приоритет задается для класса правил (см. Приложение). Критичность имеет значения:

•      Чрезвычайно высокая

•      Высокая

•      Средняя

•      Низкая

•      неизвестная

•      Описание правила – подробная информация, уникальная для каждого правила. В столбце таблицы отображается только часть названия правила и, при наведении курсора всплывает окно с полным названием и SID правила (Рисунок 34).

Рисунок 34

Возможности:

•      В столбцах Дата и время инцидента, Код инцидента, IP-адрес отправителя, Порт отправителя, IP-адрес получателя, Порт получателя, Описание правила можно выполнять сортировку по возрастанию/убыванию значения путем однократного нажатия на названии столбца.

•    В конце строки описания правила расположена пиктограмма, нажав на которую появляется окно Детали правила (Рисунок 35), содержащее следующую информацию:

•      Активно или не активно правило;

•      SID – уникальный числовой идентификатор правила;

•      Класс - принадлежность правила, под которое попадает атака, к определенному классу;

•      Название – уникальный идентификатор правила в текстовом представлении;

•      Расположение – указывает файл, где хранится правило, и точное место (номер строки) этого правила в файле;

•      Определение правила – тело правила. Синтаксис правил описан в Приложении.

Рисунок 35

•      Из выпадающего меню Выберите фильтр: (Рисунок 36) можно выбрать один из существующих фильтров инцидентов, либо создать новый, указав пункт <Создать новый фильтр>. Появится окно с настраиваемыми параметрами нового фильтра (Рисунок 37):

•      Название фильтра

•      Важность инцидентов (см. Приложение)

•      Классы инцидентов (см. Приложение)

•      Диапазон IP-адресов отправителя

•      Диапазон IP-адресов получателя

•      Диапазон портов отправителя

•      Диапазон портов получателя

•      Диапазон времени наступления инцидентов

Рисунок 36

Рисунок 37

 После задания параметров нового фильтра, нажать кнопку  Сохранить.

•      Можно удалить текущий фильтр, нажав кнопку Удалить в окне Изменение фильтра. При этом выдается запрос на подтверждение операции (Рисунок 38), либо (Рисунок 39), если фильтр используется в e-mail уведомлениях.

Рисунок 38

Рисунок 39

Внимание!

При удалении фильтра, используемого в e-mail уведомлениях, автоматически удаляются все записи уведомлений, связанные с этим фильтром.

 

•      При нажатии кнопки Обновить (Рисунок 41) происходит обновление списка инцидентов и в строке состояния отображается время последнего обновления, время запроса и период обновления.

•      Если под выбранный фильтр не попадает ни одно событие, то при нажатии кнопки Обновить будет выдано уведомление (Рисунок 40).

Рисунок 40

•      Автоматическое обновление происходит через заданный промежуток времени (период обновления) – по умолчанию каждые 5 минут. Период обновления можно изменить на странице Управление – Общее – Общие настройки СОВ.

Рисунок 41

•      При нажатии кнопки Редактировать (Рисунок 41) открывается окно Изменение фильтра (Рисунок 37) для редактирования текущих настроек выбранного фильтра. Если выбранный фильтр указан в e-mail уведомлениях, то в строке Название фильтра будет выдано предупреждение (Рисунок 42).

Рисунок 42

•      Клик левой кнопкой мыши на любой строке сводной таблицы с записью об инциденте вызывает окно Информация о записи (Рисунок 43), содержащее подробную информацию о зафиксированном инциденте.

Рисунок 43

•      При любом ожидании отклика веб-интерфейса выдается сообщение (Рисунок 44):

Рисунок 44