Наборы правил IDS/IPS

PT open (os-intrusion-detection-content-pt-open)

Данный плагин содержит в себе набор правил для системы обнаружения и предотвращения вторжений, разработанный компанией «Positive Technologies» . Данная компания специализируется на обнаружении так называемых уязвимостей нулевого дня. Условия использования данного плагина регламентируется лицензионным соглашением .

ET Pro (os-intrusion-detection-content-et-pro)

Данный плагин содержит в себе набор правил для системы обнаружения и предотвращения вторжений, разработанный компанией «Proofpoint» .

Proofpoint ET Pro является своевременным и точным набором правил для обнаружения и блокирования расширенных угроз с использованием существующих сетевых устройств безопасности, таких как брандмауэры и системы обнаружения / предотвращения вторжений в сеть (IDS / IPS). Ежедневно обновляемый и доступный в форматах SNORT и Suricata, ET Pro охватывает более 40 различных категорий поведения сети, команды и управления вредоносными программами, DoS-атаки, бот-сети, информационные события, эксплойты, уязвимости, сетевые протоколы SCADA и др.

Для использования данного плагина необходимо наличие действующей подписки .

Snort VRT (os-intrusion-detection-content-snort-vrt)

Данный плагин содержит в себе набор правил системы обнаружения и предотвращения вторжений, разработанный группой Talos (ранее VRT). Эта группа поддерживается ресурсами сообществ Snort, ClamAV и Spamcop.net, что делает ее самой большой группой, специализирующейся на сетевой безопасности.

Для использования данного плагина необходимо наличие действующей подписки и является бесплатным для некоммерческого использования согласно лицензионного соглашения .

Установка плагинов

Пройдите в раздел Система -> Прошивка -> Обновления.

На вкладке Плагины нажмите на кнопку + напротив необходимого плагина os-intrusion-detection-content-pt-open, os-intrusion-detection-content-et-pro, os-intrusion-detection-content-snort-vrt соответственно для его установки.

После этого перейдите в раздел Службы-> Обнаружение вторжений-> Администрирование, закладка Сохранение .

Если вы хотите воспользоваться наборами правил, предлагаемыми плагинами, требующими наличие подписки, то вам необходимо ввести oinkcode, полученный при подписке в поле соответствующего плагина:

../../_images/snort.png

После чего нажать кнопку Сохранить.

Загрузка и настройка

Загрузка и настройка списка правил, содержащихся в данных плагинах осуществляется аналогично соответствующих секций документации по загрузке списка правил и по настройке правил .

Удаление плагинов

Для удаления набора правил необходимо вначале выгрузить выбранный набор в разделе Службы-> Обнаружение вторжений-> Администрирование, закладка Сохранение

../../_images/disable_rule.png

После чего применить изменения, нажав Сохранить , Скачать и обновить правила.

Если данный плагин более не нужен, его можно удалить, перейдя в раздел Система -> Прошивка -> Обновления, на вкладке Плагины