Чек-лист первоначальной настройки политики защиты

Список шагов

Подробно

1. Убедиться, что заданы правила маршрутизации для политики.
На вкладке «Настройка политики» страницы «Политика защиты» убедиться, что для политики заданы правила маршрутизации.

2. Настроить в политике отображение только нужных контрмер.
Скрыть контрмеры, которые не будут применяться в политике можно, нажав на иконку над списком контрмер. Кнопка «Скрыть все» отключает отображение всех контрмер политики, кроме активных (включена контрмера, включено обучение, включено автодетектирование).

3. Настроить контрмеры.
Принцип работы контрмер описан во встроенной справке. Значения параметров устанавливаются исходя из специфики защищаемого сервиса и параметров проходящего через политику трафика.

4. Настроить автоматический захват пакетов.
Задать параметры автоматического захвата пакетов на вкладке «Захват пакетов» политики защиты. В случае начала атаки механизм автоматически снимет дамп трафика в соответствии с заданными параметрами и отправит на указанный email.

5. Настроить автодетектирование.
Задать параметры автодетектирования на вкладке «Автодетектирование» политики защиты.

  1. Задать параметры автоматического включения и выключения для каждой из контрмер, работа которых предполагает режим активации механизмом автодетектирования.

  2. Задать значения порогов Policy.Status. для изменения индикации в политике.

  3. Задать значения порогов Incidents., при превышении которых в системе регистрируется инцидент. Рекомендуется не задавать для этих порогов нулевые значения, чтобы малые единичные сбросы не регистрировались как инциденты.

  4. Задать значения порогов, PCAP. при превышении которых произойдет активация механизма автоматического захвата пакетов.

6. (Опционально) Проверить влияние на легитимный трафик через тестовый режим.
Активировать тестовый режим работы политики защиты на вкладке «Настройка политики» и удостовериться в правильности настроек контрмер по их графикам.

7. Включить политику защиты.
Активировать переключатель «Включить защиту» в левом верхнем углу страницы политики.

8. (Опционально) Настроить анализатор логов.
В случае если настроено получение логов от защищаемых Web-серверов по syslog, необходимо задать правила, формирующие критерии выявления аномалий в логах защищаемого сервера. Правила задаются на вкладке «Анализ логов» политики защиты.

Синтаксис правил описан во строенной справке.

9. (Опционально) Закрепить графики контрмер.
Может быть удобно закрепить графики контрмер под общим графиком в правой части страницы политики. Закрепление производится нажатием на иконку булавки в заголовке контрмеры.