Differences

This shows you the differences between two versions of the page.

--- tssltd:настройка_сигнатурных_правил [2025/02/21 13:20] – created r.krestianinov
+++ tssltd:настройка_сигнатурных_правил [2025/02/21 13:40] (current) – r.krestianinov
@@ Line 1: / Line 1: @@
 [[tssltd:мксз_diamond_next|Вернуться к оглавлению]]
+==== Загрузка сигнатур системы обнаружения вторжения ====
+<WRAP indent>
+Для загрузки правил системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройка сигнатур»** (см. рисунок 1).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules1.png |}}
+Рисунок 1 – Пункт меню **«СОВ» и поле «Настройка сигнатур»**
+</WRAP>
+Для обновления правил через файл необходимо нажать на кнопку **«Обзор»**, в проводнике необходимо выбрать файл с правилами, который можно скачать на официальном сайте. В случае успешного обновления правил появится список сигнатур. (см. рисунок 2).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules2.png |}}
+Рисунок 2 – Список сигнатур
+</WRAP>
+В случае неудачного обновления правил на экран будет выведено сообщение **«Не получилось получить правила IDS из файла»** (см. рисунок 3).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules3.png |}}
+Рисунок 3 – Неудачное обновление сигнатур
+</WRAP>
+</WRAP>
+==== Выбор категории фильтрации ====
+<WRAP indent>
+В разделе **«СОВ – Настройка сигнатур»** есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules4.png |}}
+Рисунок 4 – Выбор атака для обнаружения
+</WRAP>
+==== Создание собственных правил с сигнатурами ====
+<WRAP indent>
+По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду **«cd /etc/suricata/rules/»**. Для редактирования файла с правилами необходимо выполнить команду **«nano custom.rules»**. После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш **«Ctrl + X»**, на вопрос о сохранении изменения ответь **«Yes»** и нажать на клавишу **«Enter»**. Проверить, что настройки сохранены можно с помощью команды **«cat custom.rules»**. Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений.
+</WRAP>
 [[tssltd:мксз_diamond_next|Вернуться к оглавлению]]