Правила
На вкладке Правила доступны для просмотра, включения и отключения группы правил службы предотвращения вторжений. При включении/отключении группы правил настройки применяются мгновенно без необходимости перезапускать службу.
Описание правил
Блокирование утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Атаки на получение прав пользователя - обнаруживает/блокирует попытки получить учетные данные пользователя.
Попытки получения привилегий администратора - обнаруживает/блокирует попытки повысить привилегии до администратора и полученить учетные данные администратора.
Попытки проведения DoS-атак - обнаруживает/блокирует попытки провести атаки типа "отказ в обслуживании" (denial-of-service attack).
Попытки получения системных файлов - обнаруживает/блокирует системные конфигурации.
Попытки получения привилегий пользователя - обнаруживает/блокирует попытки повысить привилегии и получить учетные данные пользователей.
Потенциально опасный трафик - обнаруживает/блокирует зашифрованный или запутанный трафик, нестандартные запросы.
Пулы криптомайнеров - обнаруживает/блокирует взаимодействие с сетями криптомайнеров и обращения для передачи нагрузки, которые криптомайнеры используют для майнинга.
Блокирование крупных утечек информации - обнаруживает/блокирует попытки получить данные и информацию.
Управление вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2), которую злоумышленники используют для управления зараженными устройствами и кражи конфиденциальных данных.
Обнаружение успешных краж учетных данных - обнаруживает/блокирует кражи учетных данных.
Попытки авторизации с логином и паролем по-умолчанию - обнаруживает/блокирует попытки зайти под учетными данными с простыми паролями (аналогично Bruteforce).
Использование DNS-трафика для управления вредоносным ПО - обнаруживает/блокирует связь с инфраструктурой управления и контроля (С2).
Эксплойты - обнаруживает/блокирует использование уязвимостей систем (с индификатором CVE-XXXX-XXXXX).
Определение внешнего IP-адреса - обнаруживает/блокирует попытки взаимодействия с инфраструктурой из внешних сетей.
Расширенная база правил (от Лаборатории Касперского) - набор правил по обнаружению/блокировке от Лаборатории Касперского.
Анонимайзеры - обнаруживает/блокирует анонимайзеры.
DNS поверх HTTPS - обнаруживает/блокирует попытки сокрытия DNS-запросов по седьмому уровню TLS/SSL.
GeoIP Страны Восточной Европы - обнаруживает/блокирует попытки доступа к IP-адресам, основываясь на базе данных MaxMind's GeoIP databases.
Чёрный список IP-адресов - обнаруживает/блокирует трафик к IP-адресам из баз safe-surf.ru и cinsarmy.com.
SSL-сертификаты, используемые вредоносным ПО и ботнетами - обнаруживает/блокирует связь с командными цетрами злоумышленников (С2).
Телеметрия Windows - обнаруживает/блокирует Телеметрию Windows.
Обнаружение подозрительной сетевой активности - обнаруживает/блокирует аномалии или нестандартные действия легитимных пользователей в сети.
Блокирование атак - обнаруживает/блокирует подозрительные IP-адреса (IP Reputation).
Попытки сканирования сети - обнаруживает/блокирует сканирование сети.
Обнаружение нарушений стандартов сетевых протоколов - обнаруживает/блокирует обращения по нестандартным/прошитым протоколам.
Трафик устаревшего уязвимого ПО - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Запросы на скомпрометированные ресурсы - обнаруживает/блокирует связи с командными цетрами злоумышленников (С2).
Ошибки в сетевых протоколах - обнаруживает/блокирует ошибки сетевых протоколов.
Нежелательное программное обеспечение - обнаруживает/блокирует вредоносное ПО.
Блокирование подозрительных RPС-запросов - обнаруживает/блокирует удаленный вызов процедур (обычно используется для вызова удаленных функций на сервере, требующих результата действия).
Блокирование попыток запуска исполняемого кода - обнаруживает/блокирует Remote Code Execution (RCE).
Попытки использования социальной инженерии - обнаруживает/блокирует "атаку на человека".
Обнаружение подозрительных команд - обнаруживает/блокирует нестандартные команды, не характерные системам.
Атаки на получение привилегий администратора - обнаруживает/блокирует попытки получить привилегии администратора.
Подозрительное обращение к файлам - обнаруживает/блокирует нестандартное обращение к файлам системы.
Авторизация с подозрительным логином
Целевое использование вредоносного ПО - обнаруживает/блокирует вредоносное программное обеспечение.
Блокирование активности троянских программ - обнаруживает/блокирует вредоносные трояны.
Неизвестный тип трафика - обнаруживает/блокирует неопознаный/вредоносный трафик.
Блокирование некорректных попыток получения привилегий пользователя - обнаруживает/блокирует попытки получить привелегии пользователя.
Нецелевое использование стандартных портов - обнаруживает/блокирует использование стандартных портов в нелегетимных целях.
История изменений правил
14.12.2023
Оптимизированы правила блокировки анонимайзеров
31.01.2024
Улучшена блокировка Hola VPN и Browsec VPN
11.12.2023
Удалена категория "Попытки выполнить системный вызов" из IPS
07.12.2023
Добавлены новые правила для Windows Telemetry
Не блокируется VPN-Browsec (добавлены новые правила для блокировки VPN-Browsec)
Удалена категория Защита SMTP
Телеметрия Windows блокирует Skype (убраны 2 правила телеметрии, которые блокировали функции Skype)
23.11.2023
Ошибка в формировании правил пула криптомайнеров (исправлена ошибка правил, блокирующая легитимные ресурсы по типу www.fr)
31.10.2023
Удалено правило "ET EXPLOIT Cisco IOS XE Web Server Possible Authentication Bypass Attempt (CVE-2023-20198) (Outbound)" из-за некоректности обработки
30.10.2023
Удаление из обработки ET категории web-app-attack (Атаки на веб-приложения)
12.10.2023
Удалена категория PT Open
02.10.2023
Убраны устаревшие и/или неработающие правила
20.09.2023
Оптимизация расширенных правил
21.07.2023
Отключено правило, блокирующее вход в AD.
21.06.2023:
Исправление входа в Active Directory
05.06.2023:
Улучшение блокировки криптомайнеров
30.05.2023:
Улучшение блокировки DoH-запросов
17.05.2023:
Добавлена блокировка эксплоита MSMQ-серверов (CVE-2023-21554)
06.04.2023:
Обновление черного списка
Обновление источников детектирования DoH
09.03.2023:
Улучшение блокировки пулов криптомайнеров
06.03.2023:
Оптимизация срабатывания правил
02.03.2023:
Исправление работы FreeDNS
Улучшение блокировки TOR и анонимайзеров
01.03.2023:
Исправление работы DropBox
21.02.2023:
Обновление источников черного списка IP-адресов
Исправление работы Windows Store
13.02.2023:
Добавлен список SSL-сертификатов вредоносного ПО
06.02.2023:
Исправление доступа к Skype for Business
26.01.2023:
Исправление доступа к Autodesk Fusion 360
29.12.2022:
Обновлен черный список IP-адресов
26.12.2022:
Обновлен список адресов криптомайнеров
13.12.2022:
Блокировка источников ВПО уязвимости нулевого дня в продуктах Microsoft Exchange Server
29.11.2022:
Исправления доступа к ipinfo.io
26.10.2022:
Удалена отдельная категория правил Список НКЦКИ Источник данных атакующих НКЦКИ остается в составе баз, являясь частью "Черного списка IP-адресов"
21.10.2022:
Удалена группа Активные ботнеты Актуальные угрозы блокируются с помощью "Черных списков IP-адресов"
Last updated