События безопасности

Содержит информацию о срабатывании правил, заданных в разделе Предотвращение вторжений.

Все виджеты формируются в часовом поясе сервера.

События безопасности структурируют информацию, полученную от раздела Предотвращение вторжений.

Выбор периода

Все отображаемые данные можно фильтровать по дате и времени. Например, установить какой-то временной период (по кнопке ) или воспользоваться одним из предустановленных фильтров:

Если ни один фильтр по дате и времени не задан, то по умолчанию устанавливается интервал Сегодня в часовом поясе сервера.

Графики IDS/IPS

Виджеты содержат краткую информацию, собранную разделом Предотвращение вторжений. Подробная информация обо всех срабатываниях правил Предотвращение вторжений доступна на вкладке Журнал IDS/IPS в виде таблицы.

В таблице можно найти ID правила, которое сработало, и при необходимости создать исключение в разделе Предотвращение вторжений.

График Количество атак по уровню угрозы

Информация представлена в виде графика с пятью значениями угрозы безопасности:

  • Критично - уровень угрозы 1;

  • Важно - уровень угрозы 2;

  • Предупреждение - уровень угрозы 3;

  • Не классифицировано - уровень угрозы 4;

  • Не распознано - уровень угрозы 255.

Пример виджета Количество атак по уровню угрозы:

При нажатии на уровень угрозы все виджеты фильтруют содержание для этого уровня. Для перехода обратно к списку уровней угроз нажмите еще раз по выбранному уровню.

Описание виджетов

Топ атакованных адресов

В топ атакованных попадают как внешние, так и внутренние адреса. Один из примеров, когда атакованный адрес является внешним, - работа трояна изнутри защищаемой сети.

Топ заблокированных типов атак

Виджет подсчитывает статистику типов атак (например, типы атак Черный список IP-адресов или Попытки получения привилегий администратора, объединяющие в себе группу нескольких правил) по количеству срабатываний с данным типом атаки. Тип атаки указан в столбце Событие безопасности в таблице внизу раздела.

Топ атакующих стран

Топ атакующих стран строится по IP-адресам, полученным при срабатывании правил в разделе Предотвращение вторжений. Если IP-адрес не геокодируется в наименование страны, такой адрес не отображается в виджете. По этой причине локальные IP-адреса не отображаются в виджете.

Топ внешних узлов по количеству блокировок

Представляет собой круговую диаграмму с внешними адресами и количеством блокировок по ним.

Топ подозрительных локальных узлов

В топ попадают как авторизованные, так и не авторизованные пользователи, запросы которых блокировались.

Журнал IDS/IPS

Содержит таблицу с информацией обо всех срабатываниях правил из раздела Предотвращение вторжений. IP-адреса в столбцах Источник и Назначение кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

Web Application Firewall

Содержит информацию о срабатывании правил Web Application Firewall в виде таблицы:

IP-адреса в столбцах Адрес источника и Адрес назначения кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

Добавление правила Web Application Firewall в исключения

Чтобы добавить сработавшее правило WAF в исключения, выполните действия:

1. Перейдите в раздел Управление сервером -> Терминал.

2. В терминале перейдите в директорию /var/opt/ideco/reverse-backend, введя команду cd /var/opt/ideco/reverse-backend:

Если такой директории нет, создайте ее, выполнив команды:

mkdir /var/opt/ideco/reverse-backend
chown ideco-reverse-backend:ideco-reverse-backend /var/opt/ideco/reverse-backend

3. Проверьте наличие в директории /var/opt/ideco/reverse-backend файла custom-waf.conf. Для этого введите команду: ls /var/opt/ideco/reverse-backend. Если файл есть, он отобразится в выводе терминала:

Если файла нет, создайте его командами:

touch /var/opt/ideco/reverse-backend/custom-waf.conf
chown ideco-reverse-backend:ideco-reverse-backend /var/opt/ideco/reverse-backend/custom-waf.conf

3. Откройте файл custom-waf.conf в режиме редактирования, введя команду nano custom-waf.conf.

4. В открывшемся файле введите SecRuleRemoveById 930130 949110, где 930130 и 949110 - ID сработавших правил WAF:

5. Сохраните файл, нажав Ctrl + X, а затем нажмите Enter.

6. Введите команду sync --file-system /var/opt/ideco/reverse-backend/custom-waf.conf, чтобы данные записались на диск.

7. Перезапустите службу, введя в терминале команду systemctl restart ideco-reverse-backend.service.

8. Введите в терминале команду cat /run/ideco-reverse-backend/conf.d/modsec/main.conf:

Внесенные в файл custom-waf.conf исключения из правил WAF сохранятся при обновлении сервера Ideco NGFW. Создавать директорию и файл необходимо только один раз, новые исключения следует просто в него добавлять.

Last updated