События безопасности

Все графики формируются в часовом поясе сервера.

Раздел События безопасности содержит информацию, полученную от раздела Предотвращение вторжений.

Выбор периода

Все отображаемые данные можно фильтровать по дате и времени. Например, выбрать определенный временной период (по кнопке ) или воспользоваться одним из предустановленных фильтров:

Если не выбран ни один фильтр по дате и времени, то по умолчанию устанавливается интервал Сегодня в часовом поясе сервера.

Графики IDS/IPS

В этом разделе представлены графики, содержащие краткую информацию, собранную разделом Предотвращение вторжений. Подробные сведения обо всех срабатываниях правил Предотвращение вторжений можно найти во вкладке Журнал IDS/IPS в виде таблицы.

График Количество атак по уровню угрозы

Информация представлена в виде графика с пятью значениями угрозы безопасности:

Критично - уровень угрозы 1;
Важно - уровень угрозы 2;
Предупреждение - уровень угрозы 3;
Не классифицировано - уровень угрозы 4;
Не распознано - уровень угрозы 255.

Если нажать на уровень угрозы в правом списке, все графики будут отфильтрованы в соответствии с этим уровнем. Чтобы отменить фильтрацию, нажмите еще раз на выбранный уровень.

Пример графика Количество атак по уровню угрозы:

Описание дополнительных графков

Топ атакованных адресов

В топ атакованных попадают как внешние, так и внутренние адреса. Один из примеров, когда атакованный адрес является внешним, - работа трояна изнутри защищаемой сети.

Топ заблокированных типов атак

График подсчитывает статистику типов атак (например, типы атак Черный список IP-адресов или Попытки получения привилегий администратора) по количеству срабатываний с этим типом атаки.

Топ внешних узлов по количеству блокировок

График содержит информацию о внешних адресах и количестве блокировок по ним.

Топ атакующих стран

Топ атакующих стран строится по IP-адресам, полученным при срабатывании правил в разделе Предотвращение вторжений. Если IP-адрес не геокодируется в наименование страны, такой адрес не отображается в виджете. По этой причине локальные IP-адреса не отображаются в виджете.

Топ подозрительных локальных узлов

В топ попадают как авторизованные, так и не авторизованные пользователи, запросы которых блокировались.

Журнал IDS/IPS

В журнале можно найти ID правил, которые срабатывали, и при необходимости создать исключение, нажав на иконку . Также добавить исключение можно в разделе Предотвращение вторжений. IP-адреса в столбцах Источник и Назначение кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

Web Application Firewall

Содержит информацию о срабатывании правил Web Application Firewall в виде таблицы:

IP-адреса в столбцах Адрес источника и Адрес назначения кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

Добавление правила Web Application Firewall в исключения

Чтобы добавить сработавшее правило WAF в исключения, выполните действия:

1. Перейдите в раздел Управление сервером -> Терминал.

2. В терминале перейдите в директорию /var/opt/ideco/reverse-backend, введя команду cd /var/opt/ideco/reverse-backend:

Если директория есть, она отобразится в терминале:

Если такой директории нет, создайте ее, выполнив команды:

mkdir /var/opt/ideco/reverse-backend
chown ideco-reverse-backend:ideco-reverse-backend /var/opt/ideco/reverse-backend

3. Проверьте наличие в директории /var/opt/ideco/reverse-backend файла custom-waf.conf. Для этого введите команду: ls /var/opt/ideco/reverse-backend.

Если файл есть, он отобразится в выводе терминала:

Если файла нет, создайте его командами:

touch /var/opt/ideco/reverse-backend/custom-waf.conf
chown ideco-reverse-backend:ideco-reverse-backend /var/opt/ideco/reverse-backend/custom-waf.conf

4. Откройте файл custom-waf.conf в режиме редактирования, введя команду nano custom-waf.conf.

5. В открывшемся файле введите SecRuleRemoveById 930130 949110, где 930130 и 949110 - ID сработавших правил WAF:

6. Сохраните файл, нажав комбинацию клавиш Ctrl + X, и подтвердите нажав Y. После этого откроется окно, в котором можно изменить имя файла, нажмите Enter.

7. Введите команду sync --file-system /var/opt/ideco/reverse-backend/custom-waf.conf, чтобы данные записались на диск.

8. Перезапустите службу, введя в терминале команду systemctl restart ideco-reverse-backend.service.

9. Введите команду ls /run/ideco-reverse-backend/dynamic_configs. Откроется набор директорий, скопирйуте название директории с максимальным числом:

10. Введите команду cat /run/ideco-reverse-backend/dynamic_configs/74961615282781/modsec/main.conf, где 74961615282781 название директории, скопированное в пункте 9:

Внесенные в файл custom-waf.conf исключения из правил WAF сохранятся при обновлении сервера Ideco NGFW. Создавать директорию и файл необходимо только один раз, новые исключения следует просто в него добавлять.

PreviousЖурнал антивируса NextДействия администраторов

Last updated 3 days ago