Противодействие угрозам
ITDR может обнаруживать аномальные, ошибочные и вредоносные активности субъекта доступа (события), а также обнаруживать признаки небезопасных конфигураций. Конкретный тип обнаруживаемой аномалии, атаки или небезопасной конфигурации называется угрозой.
В состав ITDR включены алгоритмы обнаружения угроз в событиях. В текущей версии ITDR, изменение или обновление алгоритмов обнаружения угроз возможно только с участием компании-разработчика решения. Часть угроз может быть обнаружена в режиме реального времени, до того, как доступ выдан, поэтому при обнаружении угрозы в запросе доступа может быть отказано. Другие угрозы (например, брутфорс) обнаруживаются только после завершения обработки события запроса доступа, поэтому опция запрета недоступна.
С помощью политики противодействия угрозам можно включить или выключить отдельные алгоритмы обнаружения, а также задать действие, выполняемое при обнаружении конкретной угрозы. Политика противодействия угрозам не влияет на политику доступа и применяется даже для событий, в которых не удалось определить субъект доступа или ресурс.
Все обнаруживаемые в текущей версии угрозы перечислены в разделах Угрозы Kerberos и Угрозы LDAP.
Просмотр списка обнаруживаемых угроз
Для просмотра списка правил выберите раздел Противодействие угрозам в боковом меню.
Правила политики противодействия угроз отображаются в таблице со следующими столбцами:
| Столбец | Описание |
|---|---|
| Название | Название угрозы |
| Уровень опасности | Уровень опасности угрозы |
| Протокол | Протоколы, подверженные этой угрозе. Некоторые угрозы применимы к нескольким или даже всем протоколам. |
| Включено | Показывает, будет ли обнаруживаться эта угроза. |
| Действие | Ограничения, применяемые при обнаружении угрозы, и другие действия |
Для получения подробной информации об угрозе и реализованном алгоритме ее обнаружения, нажмите на символ ... и выберите пункт Редактировать. Появившийся в правой части экрана редактор будет содержать эту информацию в разделе Описание.
Включение и отключение обнаружения угроз
Для отключения обнаружения угрозы нажмите на символ ... в правой части таблицы и выберите пункт Отключить. Обнаружение угрозы будет отключено, угроза будет отображаться в таблице серым цветом, а также в колонке Включено будет отображаться Нет. Изменения вступят в силу без дополнительных действий со стороны администратора. Если обнаружение определенной угрозы отключено, перестанут создаваться инциденты с упоминанием этой угрозы.
Включение и отключение угроз происходит в Management Console мгновенно. Распространение политики на узлы обнаружения происходит с задержкой, которая не превышает нескольких минут при наличии сетевой связности между узлом обнаружения и узлом управления. При отсутствии сетевой связности до конкретного узла обнаружения политика на нем применена не будет.
Для включения обнаружения угрозы нажмите на символ ..., и нажмите Включить.
Изменение действия, выполняемого при обнаружении угрозы
Для изменения действия, выполняемого при обнаружении угрозы, нажмите на символ ... в правой части таблицы и выберите пункт Редактировать. В правой части экрана появится редактор угрозы, содержащий несколько элементов управления:
| Элемент управления | Реализуемое действие |
|---|---|
| Обнаруживать | Включает и отключает обнаружение угрозы, см. Отключение и включение обнаруживаемых угроз. Если обнаружение угрозы включено, будет создаваться карточка инцидента, даже если другие действия не выбраны. |
| Запретить | Запрещает доступ для запросов доступа, в которых обнаружена угроза. |
| Выделить цветом на странице События | События, в которых обнаружена угроза, будут выделены цветом на странице События. |
Нажмите Сохранить для применения изменения. Изменения вступят в силу без дополнительных действий со стороны администратора.
Некоторые угрозы (например, брутфорс) могут быть обнаружены только после того, как доступ будет выдан, поэтому действие Запретить для таких угроз указать нельзя.
Изменение действия, выполняемого при обнаружении угрозы, происходит в Management Console мгновенно. Распространение политики на узлы обнаружения происходит с задержкой, которая не превышает нескольких минут при наличии сетевой связности между узлом обнаружения и узлом управления. При отсутствии сетевой связности до конкретного узла обнаружения политика на нем применена не будет.