| Both sides previous revisionPrevious revisionNext revision | Previous revision |
| tssltd:настройка_сигнатурных_правил [2025/02/21 13:38] – r.krestianinov | tssltd:настройка_сигнатурных_правил [2025/02/21 13:40] (current) – r.krestianinov |
|---|
| Рисунок 2 – Список сигнатур | Рисунок 2 – Список сигнатур |
| </WRAP> | </WRAP> |
| В случае неудачного обновления правил на экран будет выведено сообщение «Произошла ошибка при обновлении сигнатур» (см. рисунок 3). | В случае неудачного обновления правил на экран будет выведено сообщение **«Не получилось получить правила IDS из файла»** (см. рисунок 3). |
| |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| <WRAP indent> | <WRAP indent> |
| |
| В разделе «СОВ – Настройка сигнатур» есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4). | В разделе **«СОВ – Настройка сигнатур»** есть возможность выбрать, какие атаки будет детектировать СОВ. Чтобы СОВ детектировал атаку, нужно установить флаг на определенном типе атаки. Если флаг не стоит, атака не будет обнаруживаться (см. рисунок 4). |
| | |
| <WRAP center round box 100%> | <WRAP center round box 100%> |
| {{ :tssltd:sov_rules4.png |}} | {{ :tssltd:sov_rules4.png |}} |
| Рисунок 4 – Неудачное обновление сигнатур | Рисунок 4 – Выбор атака для обнаружения |
| </WRAP> | </WRAP> |
| |
| |
| <WRAP indent> | <WRAP indent> |
| По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду «cd /etc/suricata/rules/». Для редактирования файла с правилами необходимо выполнить команду «nano custom.rules». После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш «Ctrl + X», на вопрос о сохранении изменения ответь «Yes» и нажать на клавишу «Enter». Проверить, что настройки сохранены можно с помощью команды «cat custom.rules». Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений. | По умолчанию система обнаружения вторжений использует около 30 тысяч сигнатурных правил для анализа сетевого трафика. В некоторых случаях необходимо создавать персональные правила, которые будут детектировать сетевые атаки, которые не входят в перечень по умолчанию. Для создания персональных правил необходимо подключиться к устройству по протоколу ssh. Для перехода в папку с правилами необходимо выполнить команду **«cd /etc/suricata/rules/»**. Для редактирования файла с правилами необходимо выполнить команду **«nano custom.rules»**. После создания собственных правил необходимо сохранить изменения. Для сохранения настроек необходимо нажать комбинацию клавиш **«Ctrl + X»**, на вопрос о сохранении изменения ответь **«Yes»** и нажать на клавишу **«Enter»**. Проверить, что настройки сохранены можно с помощью команды **«cat custom.rules»**. Для вступления персональных правил в силу необходимо перезапустить систему обнаружения вторжений. |
| |
| |
