С-Терра СОВ предоставляет возможность создания собственных правил обнаружения компьютерных атак. Администратор должен быть ознакомлен с синтаксисом задания правила, а также с описаниями идентификаторов, классов и приоритетов (подробная информация представлена в Приложении).
Для задания нового пользовательского правила при помощи графического интерфейса СОВ, выполните следующие действия:
Шаг 1: Получите доступ к графическому интерфейсу (выполните вход- см. «Получение доступа к графическому интерфейсу»).
Шаг 2: Перейдите на страницу Правила - Список правил, в выпадающем списке узлов выберете название того узла, на котором планируется включение/выключение/изменение/добавление правила. В случае выбора в данном списке узла по умолчанию (Default), изменения будут касаться правил на всех управляемых узлах. Для добавления нового правила нажмите на кнопку +Добавить правило.
Рисунок 81
Шаг 3: В открывшемся окне Добавление правила в область Правило введите текст правила соответствующего синтаксиса. Нажмите кнопку Добавить.
Рисунок 82
Пример правила для пакетов с http.request.method == "POST":
alert http any any -> any any (msg:"http.request.method POST"; content:"POST"; classtype:web-application-attack; sid:300000003; rev:1;)
Описание синтаксиса правил доступно в Приложении.
Внимание! |
В правилах может быть указан SID в диапазоне от 1 до 4294967294. SID каждого правила уникален. |
Шаг
4: Новое правило появилось
в списке правил узла. По умолчанию каждое новое правило создается включенным.
Для сохранения данного правила в БД нажмите на кнопку Применить изменения и в
выпадающем списке выберете пункт Применить изменения на текущем узле
(Рисунок 83). После применения изменений индикатор имения правила меняется
на (Рисунок
84).
Рисунок 83
Рисунок 84
Шаг 5: Далее необходимо отправить примененные изменения на узлы СОВ. Для этого перейдите на вкладку Узлы нажмите на кнопку Применить изменения.
Рисунок 85
Шаг 6: Запустите процесс перезагрузки правил на нужном узле. Для этого на странице Узлы откройте детальную информацию узла, нажав на советующую кнопку в строке этого узла. В открывшемся окне строке сервиса stids-suricata нажмите кнопку Перезапуск.
Рисунок 86