Ideco NGFW
Скачать PDF
vpp-v18
vpp-v18
  • Об Ideco NGFW VPP
  • Общая информация
    • Виды и состав лицензий
    • Системные требования и источники данных
    • Техническая поддержка
  • Быстрый старт
    • Рекомендации при первоначальной настройке
    • MY.IDECO
    • Подготовка к установке на устройство
      • Настройка гипервизора
      • Подготовка загрузочного диска
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
  • Настройка Ideco NGFW VPP
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Настройка клиентских машин
      • Авторизация пользователей
        • IP и MAC авторизация
        • Авторизация по подсетям
    • Интеграция с Active Directory/Samba DC
      • Импорт пользователей
      • Аутентификация пользователей AD/Samba DC
        • Настройка сервера Active Directory
        • Настройка клиентских машин
    • ALD Pro
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
      • Ограничение скорости
      • Предотвращение вторжений
      • Объекты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
      • Контент-фильтр
        • Изменение страницы блокировки Контент-фильтра
      • TLS/SSL-инспекция
        • Настройка фильтрации HTTPS
    • Сервисы
      • Сетевые интерфейсы
      • Маршрутизация
      • BGP
      • DNS
      • NTP-сервер
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью Powershell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Системный журнал
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Обновления
        • Настройка кластера
      • Бэкапы
      • Терминал
      • Лицензия
      • Дополнительно
  • Диагностика проблем
    • Проблемы при авторизации пользователей
    • Восстановление пароля администратора
    • Примеры диагностики через терминал
    • Удаленный доступ к серверу
  • changelog
    • Ideco NGFW VPP 18.X
    • ФСТЭК Ideco UTM 16.X
Powered by GitBook
On this page
  • Графики IPS
  • Журнал IPS

Was this helpful?

  1. Настройка Ideco NGFW VPP
  2. Отчеты и журналы

События безопасности

Для просмотра событий безопасности в веб-интерфейсе перейдите в раздел Отчеты и журналы -> События безопасности.

PreviousСистемный журналNextДействия администраторов

Last updated 6 months ago

Was this helpful?

В разделе События безопасности структурируется в виджеты информация модуля Предотвращение вторжений и позволяют узнать статистику по блокировкам пользователей.

Все виджеты формируются в часовом поясе сервера.

Отображаемые данные можно фильтровать по дате и времени, воспользовавшись фильтром или настроив самостоятельно по кнопке :

По умолчанию при отсутствии настроенного фильтра по дате и времени устанавливается интервал Сегодня в часовом поясе сервера.

Графики IPS

Раздел содержит краткую информацию Предотвращение вторжений. Подробная информация Предотвращение вторжений находится на вкладке Журнал IPS:

Значения угроз безопасности:

  • Критично - уровень угрозы 1;

  • Важно - уровень угрозы 2;

  • Предупреждение - уровень угрозы 3;

  • Не классифицировано - уровень угрозы 4;

  • Не распознано - уровень угрозы 255.

Описание виджетов:

Топ атакованных адресов

В топ атакованных попадают внешние и внутренние адреса. Пример атаки внешнего адреса - работа трояна изнутри защищаемой сети.

Топ заблокированных типов атак

Виджет подсчитывает статистику типов атак по количеству срабатываний с данным типом атаки. Тип атаки указан в столбце Событие безопасности в таблице внизу раздела.

Топ атакующих стран

Топ атакующих стран строится по IP-адресам, полученным при срабатывании правил в разделе Предотвращение вторжений. Если IP-адрес не геокодируется в наименование страны, такой адрес не отображается в виджете. По этой причине локальные IP-адреса не отображаются в виджете.

Топ внешних узлов по количеству блокировок

Представляет собой круговую диаграмму с внешними адресами и количеством блокировок по ним.

Топ подозрительных локальных узлов

В топ попадают как авторизованные пользователи так и не авторизованные пользователи, запросы которых блокировались.

При нажатии на уровень угрозы, все виджеты фильтруют содержание для этого уровня. Для перехода к списку уровней угроз, нажмите еще раз по выбранному уровню.

Журнал IPS

Раздел содержит таблицу с информацией обо всех срабатываниях правил Предотвращения вторжений. Удобно использовать для просмотра блокировок пользователей.

Импорт логов службы предотвращения вторжений в MS Excel

  1. Скачайте CSV-файл по соответствующей кнопке.

  2. Откройте CSV-файл в MS Excel и выделите весь первый столбец.

  3. Перейдите во вкладку Данные и нажмите Текст по столбцам.

  4. В открывшемся окне выберите с разделителями и нажмите Далее.

  1. Выберите в качестве разделителя запятую и нажмите Далее.

  1. Выберите текстовый формат данных столбца и нажмите Готово.

При блокировке пакета в столбце Результат анализа будет . Другой результат в этом столбце говорит о том, что пакет прошел проверку модулем Предотвращение вторжений.

При нажатии на IP-адреса в столбцах Источник и Назначение происходит переход на сервис для получения информации о регистрации домена.

В Журнале IPS можно найти ID правила, которое сработало, и при необходимости добавить его в исключения, нажав на .

Логи Предотвращения вторжений можно отправлять на удаленный сервер при настроенном Syslog. Подробнее в статье .

Whois
Syslog