Differences

This shows you the differences between two versions of the page.

--- tssltd:настройка_сигнатурных_правил [2025/02/21 13:35] – r.krestianinov
+++ tssltd:настройка_сигнатурных_правил [2025/02/21 13:40] (current) – r.krestianinov
@@ Line 3: / Line 3: @@
 <WRAP indent>
-Для загрузки правил системы обнаружения вторжений необходимо в главном меню выбрать пункт «СОВ – Настройка сигнатур» (см. рисунок 1).
+Для загрузки правил системы обнаружения вторжений необходимо в главном меню выбрать пункт **«СОВ – Настройка сигнатур»** (см. рисунок 1).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules1.png |}}
+Рисунок 1 – Пункт меню **«СОВ» и поле «Настройка сигнатур»**
+</WRAP>
-Рисунок 1 – Пункт меню «СОВ» и поле «Настройка сигнатур»
+Для обновления правил через файл необходимо нажать на кнопку **«Обзор»**, в проводнике необходимо выбрать файл с правилами, который можно скачать на официальном сайте. В случае успешного обновления правил появится список сигнатур. (см. рисунок 2).
-Для обновления правил через файл необходимо нажать на кнопку «Обзор», в проводнике необходимо выбрать файл с правилами, который можно скачать на официальном сайте. В случае успешного обновления правил появится список сигнатур. (см. рисунок 2).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules2.png |}}
 Рисунок 2 – Список сигнатур
+</WRAP>
+В случае неудачного обновления правил на экран будет выведено сообщение **«Не получилось получить правила IDS из файла»** (см. рисунок 3).
-В случае неудачного обновления правил на экран будет выведено сообщение «Произошла ошибка при обновлении сигнатур» (см. рисунок 3).
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules3.png |}}
 Рисунок 3 – Неудачное обновление сигнатур
+</WRAP>
 </WRAP>
@@ Line 21: / Line 27: @@
 <WRAP indent>
-В разделе «СОВ – Настройка сигнатур» есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4).
+В разделе **«СОВ – Настройка сигнатур»** есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4).
-Рисунок 4 – Неудачное обновление сигнатур
+<WRAP center round box 100%>
+{{ :tssltd:sov_rules4.png |}}
+Рисунок 4 – Выбор атака для обнаружения
 </WRAP>
 ==== Создание собственных правил с сигнатурами ====
 <WRAP indent>
-По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду «cd /etc/suricata/rules/». Для редактирования файла с правилами необходимо выполнить команду «nano custom.rules». После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat custom.rules». Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений.
+По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду **«cd /etc/suricata/rules/»**. Для редактирования файла с правилами необходимо выполнить команду **«nano custom.rules»**. После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш **«Ctrl + X»**, на вопрос о сохранении изменения ответь **«Yes»** и нажать на клавишу **«Enter»**. Проверить, что настройки сохранены можно с помощью команды **«cat custom.rules»**. Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений.