v18
Скачать PDF

События безопасности

Все графики формируются в часовом поясе сервера.

Раздел События безопасности содержит информацию, представленную в разделе Предотвращение вторжений.

Выбор периода

Если не выбран ни один фильтр по дате и времени, то по умолчанию устанавливается интервал Сегодня в часовом поясе сервера.

Графики IPS

В этом разделе представлены графики, содержащие краткую информацию раздела Предотвращение вторжений. Подробные сведения обо всех срабатываниях правил Предотвращение вторжений можно найти на вкладке Журнал IPS в виде таблицы.

График Количество атак по уровню угрозы

Информация представлена в виде графика с пятью значениями угрозы безопасности:

  • Критично - уровень угрозы 1;

  • Важно - уровень угрозы 2;

  • Предупреждение - уровень угрозы 3;

  • Не классифицировано - уровень угрозы 4;

  • Не распознано - уровень угрозы 255.

Если нажать на уровень угрозы в правом списке, все графики будут отфильтрованы в соответствии с этим уровнем. Чтобы отменить фильтрацию, нажмите еще раз на выбранный уровень.

Пример графика Количество атак по уровню угрозы:

Описание дополнительных графиков

Топ атакованных адресов

В топ атакованных попадают как внешние, так и внутренние адреса. Один из примеров, когда атакованный адрес является внешним, - работа трояна изнутри защищаемой сети.

Топ заблокированных типов атак

График подсчитывает статистику типов атак (например, типы атак Черный список IP-адресов или Попытки получения привилегий администратора) по количеству срабатываний с этим типом атаки.

Топ внешних узлов по количеству блокировок

График содержит информацию о внешних адресах и количестве блокировок по ним.

Топ атакующих стран

Топ атакующих стран строится по IP-адресам, полученным при срабатывании правил в разделе Предотвращение вторжений. Если IP-адрес не геокодируется в наименование страны, такой адрес не отображается в виджете. По этой причине локальные IP-адреса не отображаются в виджете.

Топ подозрительных локальных узлов

В топ попадают как авторизованные, так и не авторизованные пользователи, запросы которых блокировались.

Журнал IPS

В журнале IPS можно просмотреть логи системы Предотвращения вторжений:

  • Поле Результат анализа отображает действие системы:

    • Blocked - пакет блокирован;

    • Любая другая информация в этом поле - Allowed, информирование;

  • В поле Уровень угрозы могут отображаться следующие значения:

    • Критично;

    • Опасно;

    • Предупреждение;

    • Не распознано;

    • Не классифицировано

IP-адреса в столбцах Источник и Назначение кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

Для корректного отображения информации из CSV-файла выполните действия:

1. Скачайте CSV-файл с логами системы Предотвращения вторжений за определенный период по соответствующей кнопке;

2. Откройте CSV-файл в MS Excel и выделите весь первый столбец;

3. Перейдите на вкладку Данные и нажмите кнопку Текст по столбцам;

4. В открывшемся окне выберите с разделителями и нажмите Далее:

5. В блоке Символом-разделителем является: выберите запятая и нажмите Далее:

6. В блоке Формат данных столбца выберите Текстовый и нажмите Готово:

Пример анализа логов

Предупреждение системы Предотвращения вторжений:

alert http $EXTERNAL_NET any -> any any (msg:"ET SCAN Zmap User-Agent (Inbound)"; flow:established,to_server; http.user_agent; content:"Mozilla/5.0 zgrab/0.x"; depth:21; endswith; classtype:network-scan; sid:2029054; rev:2; metadata:created_at 2019_11_26, former_category SCAN, updated_at 2020_10_23;)

Проанализируйте IP-адрес, с которым была попытка подозрительного соединения, через whois.

Web Application Firewall

Содержит информацию о срабатывании правил Web Application Firewall в виде таблицы:

IP-адреса в столбцах Адрес источника и Адрес назначения кликабельны и при нажатии ведут на сервис Whois для получения информации о регистрации домена.

На вкладке Web Application Firewall отображается профиль WAF, параметры которого вызвали блокировку доступа к ресурсу.

PreviousЖурнал антивирусаNextДействия администраторов

Last updated