v17
Скачать PDF

Правила

На вкладке Правила доступны для просмотра, включения и отключения группы правил службы предотвращения вторжений. При включении/отключении группы правил настройки применяются мгновенно без необходимости перезапускать службу.

Описание правил

  • DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.

  • GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.

  • SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).

  • Авторизация с подозрительным логином

  • Анонимайзеры - обнаруживает/блокирует анонимайзеры.

  • Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.

  • Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.

  • Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.

  • Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation).

  • Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.

  • Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.

  • Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).

  • Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE).

  • Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.

  • Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).

  • Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).

  • Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.

  • Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.

  • Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.

  • Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.

  • Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.

  • Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.

  • Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.

  • Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.

  • Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.

  • Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.

  • Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).

  • Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".

  • Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.

  • Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.

  • Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.

  • Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).

  • Попытки сканирования сети - обнаруживает/блокирует сканирование сети.

  • Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы.

  • Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.

  • Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.

  • Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.

  • Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).

  • Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.

  • Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.

  • Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.

  • Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).

История изменений правил

14.12.2023

  • Оптимизированы правила блокировки анонимайзеров

31.01.2024

  • Улучшена блокировка Hola VPN и Browsec VPN

11.12.2023

  • Удалена категория "Попытки выполнить системный вызов" из IPS

07.12.2023

  • Добавлены новые правила для Windows Telemetry

  • Не блокируется VPN-Browsec (добавлены новые правила для блокировки VPN-Browsec)

  • Удалена категория Защита SMTP

  • Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype)

23.11.2023

  • Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr)

31.10.2023

  • Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некоректности обработки

30.10.2023

  • Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения)

12.10.2023

  • Удалена категория PT Open

02.10.2023

  • Убраны устаревшие и/или неработающие правила

20.09.2023

  • Оптимизация расширенных правил

21.07.2023

  • Отключено правило, блокирующее вход в AD.

21.06.2023:

  • Исправление входа в Active Directory

05.06.2023:

  • Улучшение блокировки криптомайнеров

30.05.2023:

  • Улучшение блокировки DoH-запросов

17.05.2023:

  • Добавлена блокировка эксплоита MSMQ-серверов (CVE-2023-21554)

06.04.2023:

  • Обновление черного списка

  • Обновление источников детектирования DoH

09.03.2023:

  • Улучшение блокировки пулов криптомайнеров

06.03.2023:

  • Оптимизация срабатывания правил

02.03.2023:

  • Исправление работы FreeDNS

  • Улучшение блокировки TOR и анонимайзеров

01.03.2023:

  • Исправление работы DropBox

21.02.2023:

  • Обновление источников черного списка IP-адресов

  • Исправление работы Windows Store

13.02.2023:

  • Добавлен список SSL-сертификатов вредоносного ПО

06.02.2023:

  • Исправление доступа к Skype for Business

26.01.2023:

  • Исправление доступа к Autodesk Fusion 360

29.12.2022:

  • Обновлен черный список IP-адресов

26.12.2022:

  • Обновлен список адресов криптомайнеров

13.12.2022:

  • Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server

29.11.2022:

  • Исправления доступа к ipinfo.io

26.10.2022:

  • Удалена отдельная категория правил Список НКЦКИ Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов"

21.10.2022:

  • Удалена группа Активные ботнеты Актуальные угрозы блокируются с помощью "Черных списков IP-адресов"

PreviousЖурналNextИсключения из правил

Last updated