¶ Общее описание
На устройстве МКСЗ Diamond Next в журнале системы обнаружения и предотвращения вторжений ведется учет всех событий, которые были зафиксированы подсистемой СОВ/СПВ. Для просмотра журнала необходимо в главном меню выбрать пункт «Журнал событий – Журнал СОВ». В таблице «Журнал системы обнаружения вторжений» представлены события системы обнаружения и предотвращения вторжений. В журнале подробно фиксируются все события: попытки использования уязвимостей в программном обеспечении; действия злоумышленников, направленные на картографирование сети и поиск открытых точек входа; попытки перегрузить сеть или сервисы трафиком, чтобы сделать их недоступными; обнаружение вирусов, червей, троянов и программ-вымогателей; аномальная сетевая активность, например, соединения с известными командными серверами ботнетов или утечка данных и т.д.
¶ Формат сообщений
Каждая запись в журнале системных событий содержит следующие данные:
| Поле | Описание |
| Дата и время | Точный момент, когда систем обнаружения и предотвращения зафиксировала подозрительную сетевую активность. |
| Номер сигнатуры | Уникальный идентификатор правила (SID) в базе системы обнаружения и предотвращения вторжений, которое сработало. |
| Название политики | Указывает, в рамках какой политики безопасности сработало правило. |
| Классификация | Категория атаки, которая определяется правилом. |
| Приоритет | Уровень серьезности события. |
| Протокол | Сетевой протокол, который использовался в атаке. |
| IP-адрес источника атаки | Сетевой адрес злоумышленника или зараженной системы, с которой была инициатором атаки. |
| Порт источника | Сетевой порт на атакующей системе, который использовался для установления соединения. |
| IP-адрес назначения атаки | Сетевой адрес вашей защищаемой системы, которая являлась целью атаки. |
| Порт назначения | Сетевой порт на целевой системе, на который была направлена атака. |
| Pcap файл | Ссылка на файл в формате “pcap” с сетевым трафиком между источником и назначением в момент атаки. |
¶ Основные настройки журнала событий
В таблице ниже представлены параметры для работы с журналом системных событий:
| Параметр | Описание |
| Фильтр | Параметр позволяет задать дополнительные фильтры для поиска и отображения нужной информации. Доступна возможность осуществлять фильтрацию по следующим полям: “дата и время”, “сообщение”, “подсистема”, “дополнительная информация”. По умолчанию отображаются все доступные события. |
| Интервал обновления |
Параметр позволяет задать интервал обновления журнала системных событий. Доступные значения: 1 секунда, 5 секунд и 10 секунд. Значение по умолчанию: 10 секунд. |
| Количество срок для просмотра |
Параметр позволяет задать количество строк для отображения в журнале событий. Доступные значения: 50, 100, 200, 500, 1000, 10000, 100000 и все. Значение по умолчанию: 50 строк. |
| Сохранить журнал | Кнопка “Сохранить журнал” позволяет сохранить журнал системных событий в текстовый файл "ids-log.txt". В файл сохраняется количество строк, которые заданы и отображаются в текущий момент. |
| Подробнее | Параметр позволяет посмотреть подробную информацию о событии. |
¶ Фильтрация событий в журнале событий
Журнал событий поддерживает возможность выводить данные журнала событий с учетом дополнительных фильтров, которые можно настраивать администратор системы. Параметры и их описание, которые можно использовать для фильтрации событий, представлены в таблице:
| Параметр | Описание |
| Дата с | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, с которой необходимо отобразить события. |
| Дата до | В данном поле необходимо задать дату в формате ГГГГ-ММ-ДД, до которой необходимо отобразить события. |
| Номер | В данном поле необходимо задать номер сигнатуры. Номер сигнатуры состоит из 7-ми цифр. |
| Политика | В данном поле необходимо задать одну из доступных политик. |
| Классификация | В данном поле необходимо задать один из доступных классов. |
| Приоритет | В данном поле необходимо задать один из доступных приоритетов. |
| Протокол | В данном поле необходимо задать один из доступных протоколов. |
| IP источника | В данном поле необходимо задать сетевой адрес источника. |
| Порт источника | В данном поле необходимо задать сетевой порт источника. |
| IP назначения | В данном поле необходимо задать сетевой адрес назначения. |
| Порт назначения | В данном поле необходимо задать сетевой порт назначения. |
| Pcap | В данном поле необходимо задать номер pcap файла. |
¶ Гибкая настройка фильтра при поиске данных
При работе с фильтрами можно использовать дополнительные возможности поиска. Рассмотрим несколько вариантов:
- Задаем точное значение. В этом случае поиск осуществляется по всем полю вне зависимости от позиции значения, которое мы ищем.
- Задаем значение и далее указываем символ "*". В этом случае поиск искомого значения осуществляется в начале поля.
- Задаем символ "*" и далее указываем значение. В этом случае поиск искомого значения осуществляется в конце поля.
Рассмотрим несколько примеров.
Свободный поиск в поле номер сигнатуры. Для примера осуществим поиск значения 10. Так как дополнительные ключи для поиска не заданы, то устройство отобразило все возможные варианты, где в поле номер сигнатуры встречается значение "10".
Поиск по первому октету в поле ip адрес источника. Для примера осуществим поиск значения 45. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по первому октету. Для этого необходимо ввести значение "45.*".
Поиск последней цифре в поле порт источника. Для примера осуществим поиск значения 9. При этом зададим дополнительный ключ, чтобы поиск осуществлялся только по последнему числу номера порта источника. Для этого необходимо ввести значение "*9".
¶ Сохранение pcap
Если при настройке механизма обнаружения и предотвращения сетевых атак был активирован механизм сохранения сетевого трафика атаки в формате pcap, то для каждого сообщения в журнале событий будет записал образец трафика. Для сохранения pcap файла необходимо кликнуть левой кнопкой мыши по названию pcap файла. Если для нескольких профилей сетевых атак будет подходить один и тот же образец сетевого трафика, то в этом случае будет сохранен один pcap файл.