Создание пользовательских правил

С-Терра СОВ предоставляет возможность создания собственных правил обнаружения компьютерных атак. Администратор должен быть ознакомлен с синтаксисом задания правила, а также с описаниями идентификаторов, классов и приоритетов (подробная информация представлена в Приложении).

Для задания нового пользовательского правила при помощи графического интерфейса СОВ, выполните следующие действия:

Шаг 1:      Получите доступ к графическому интерфейсу (выполните вход- см. «Получение доступа к графическому интерфейсу»).

Шаг 2:      Перейдите на страницу Правила - Список правил, в выпадающем списке узлов выберете название того узла, на котором планируется включение/выключение/изменение/добавление правила. В случае выбора в данном списке узла по умолчанию (Default), изменения будут касаться правил на всех управляемых узлах. Для добавления нового правила нажмите на кнопку +Добавить правило.

 

Рисунок 81

Шаг 3:      В открывшемся окне Добавление правила в область Правило введите текст правила соответствующего синтаксиса. Нажмите кнопку Добавить.

Рисунок 82

               Пример правила для пакетов с http.request.method == "POST":

alert http any any -> any any (msg:"http.request.method POST"; content:"POST"; classtype:web-application-attack; sid:300000003; rev:1;)

               Описание синтаксиса правил доступно в Приложении.

Внимание!

В правилах может быть указан SID в диапазоне от 1 до 4294967294. SID каждого правила уникален.

Шаг 4:      Новое правило появилось в списке правил узла. По умолчанию каждое новое правило создается включенным. Для сохранения данного правила в БД нажмите на кнопку Применить изменения и в выпадающем списке выберете пункт Применить изменения на текущем узле (Рисунок 83). После применения изменений индикатор имения правила меняется на  (Рисунок 84).

 

Рисунок 83

Рисунок 84

Шаг 5:      Далее необходимо отправить примененные изменения на узлы СОВ. Для этого перейдите на вкладку Узлы нажмите на кнопку Применить изменения.

Рисунок 85

Шаг 6:      Запустите процесс перезагрузки правил на нужном узле. Для этого на странице Узлы откройте детальную информацию узла, нажав на советующую кнопку в строке этого узла. В открывшемся окне строке сервиса stids-suricata нажмите кнопку Перезапуск.

Рисунок 86