Введение
EDM Issue предоставляет возможность загружать и раздавать на клиентские устройства различный контент, как загружаемый с EDM Root согласно лицензии EDM, так и настроенный пользователем. На данный момент EDM Issue позволяет распространять только правила анализа трафика для системы IDS/IPS, функционирующей на маршрутизаторах ESR. В рамках лицензии распространяются правила, предоставляемые компанией "Лаборатория Касперского".
Администратор EDM Issue со своей стороны может:
- просматривать информацию о поддерживаемых лицензируемых и пользовательских поставщиках IDS/IPS-правил;
- просматривать информацию о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил;
- создавать пользовательских поставщиков IDS/IPS-правил и категории правил внутри них;
- редактировать пользовательских поставщиков IDS/IPS-правил;
- редактировать категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
- удалять категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
- удалять пользовательских поставщиков IDS/IPS-правил;
- настраивать интервал автоматической загрузки актуальных лицензируемых и пользовательских IDS/IPS-правил;
- запускать процесс загрузки актуальных лицензируемых IDS/IPS-правил с EDM Root вручную;
- запускать процесс загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную.
Просмотр информации о поставщиках IDS/IPS-правил
Для просмотра информации о поставщиках IDS/IPS-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "show vendors".
Пример вывода информации о поставщиках IDS/IPS-правил в EDM CLIedmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: suricata Title: Emerging Threats Open Ruleset Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ edmi-ips>
Просмотр информации о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил
При просмотре информации поддерживаемых категориях IDS/IPS-правил у каждого загруженного файла или категории есть дата обновления и дата загрузки (updated/ loaded time). Дата загрузки - это всегда дата обновления IDS/IPS-правил на EDM Issue. Дата обновления для лицензируемых поставщиков IDS/IPS-правил - это дата обновления правил на EDM Root, а для пользовательских поставщиков IDS/IPS-правил – эта дата совпадет с датой обновления IDS/IPS-правил на EDM Issue.
Каждая категория IDS/IPS правил может содержать файлы нескольких типов:
- Файл с правилами для системы IDS/IPS;
- Файл с хешами, которые используются при анализе и обнаружении подозрительного трафика системой IDS/IPS;
- Файл с классификацией правил для классификации правил в системе IDS/IPS.
В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов. В то же время EDM Issue web в разделе "Лицензия EDM", подраздел "Подписки" оперирует только категориями правил и список распространяемых файлов там посмотреть нельзя. В текущей версии в выводе команды "show files" можно воспринимать названия файлов с правилами как названия категорий правил, доступных в web-интерфейсе.
Эта неточность будет устранена в следующих версиях ПО.
Для просмотра информации о поддерживаемых категориях IDS/IPS-правил для определенного поставщика IDS/IPS-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "show files --vendor <Имя поставщика IDS/IPS-правил>".
Пример вывода информации о категориях IDS/IPS-правил в EDM CLIedmi-ips> show files --vendor kaspersky Supported rules files: 1. File: MobileBotnetCAndCDF (11226 items) File type: rules Description: Kasperksy Lab MobileBotnetCAndCDF feed Mobile Botnet CnC URL Feed - set of URLs with context that cover mobile botnet C&C servers Updated: 2021-08-07 05:45:48 Loaded: 2021-08-07 05:52:59 2. File: RansomwareURLsDF (8000 items) File type: rules Description: Kasperksy Lab RansomwareURLsDF feed RansomwareURLsDF - a set of URLs, domains, and hosts with context that cover ransomware links and websites Updated: 2021-08-07 05:46:41 Loaded: 2021-08-07 05:52:58 3. File: BotnetCAndCURLsDF (11825 items) File type: rules Description: Kasperksy Lab BotnetCAndCURLsDF feed Botnet CnC URL Feed - a set of URLs and hashes with context that cover desktop botnet C&C servers and related malicious objects Updated: 2021-08-07 05:45:30 Loaded: 2021-08-07 05:52:58 4. File: MaliciousHashDF (1 items) File type: rules Description: Kasperksy Lab MaliciousHashDF feed Malicious Hash feed - a set of hashes of malicious objects Updated: 2021-08-07 05:46:13 Loaded: 2021-08-07 05:52:58 Supported hash files: 1. File: MaliciousHashDF_md5.txt File type: hash Updated: 2021-08-07 05:46:13 Loaded: 2021-08-07 05:52:58 Supported config files: 1. File: classification.config File type: config Updated: 2021-07-24 09:30:14 Loaded: 2021-08-07 05:52:59 edmi-ips>
Для просмотра информации о поставщиках файлов и доступных в них категориях через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Лицензия EDM".
- Перейти в подраздел "Подписки".
Рисунок 3 – Получение информации о доступных поставщиках IDS/IPS-правил и категорий IDS/IPS-правил в web-интерфейсе EDM Issue
Создание пользовательских поставщиков IDS/IPS-правил и категорий IDS/IPS-правил внутри них
EDM Issue позволяет создавать и распространять пользовательские IDS/IPS-правила, скачиваемые с внешних источников по протоколам HTTP и HTTPS и отдавать их на клиентские устройства, сохраняя структуру отдачи IDS/IPS-правил как для лицензируемых поставщиков IDS/IPS-правил. Для того, чтобы EDM Issue смог скачивать и раздавать такие правила, требуется создать пользовательского поставщика IDS/IPS-правил, а затем добавить в него требуемое количество категорий распространяемых правил.
Правила пользовательских поставщиков IDS/IPS-правил скачиваются по протоколам HTTP либо HTTPS, поэтому для каждой категории IDS/IPS-правил в пользовательcком поставщике правил должна быть сформирована URL-ссылка на скачиваемый файл с правилами.
URL-ссылка формируется из двух частей:
- Base URL - задается в параметре "–url" в команде "add vendor" при создании пользовательского поставщика IDS/IPS-правил.
- Category path - задается в параметре "–path" в команде "add feed" при создании пользовательской категории IDS/IPS-правил.
В результате этого при запуске процесса обновления правил пользовательских поставщиков IDS/IPS-правил:
- Будет произведена попытка загрузки файла c классификацией правил по пути <Base URL>classification.conf. Если файл не будет найден по указанному пути, то EDM будет считать, что для указанного пользовательского поставщика IDS/IPS-правил файл с классификацией правил отсутствует.
- Для каждой категории IDS/IPS-правил будет произведена попытка загрузки файла с правилами по пути <Base URL><Category path>. Если такой файл не будет найден, то EDM будет считать, что для указанной категории IDS/IPS-правил правила не заданы.
Для создания пользовательского поставщика IDS/IPS-правил с категорией распространяемых IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
- Добавить нового поставщика IDS/IPS-правил командой "add vendor".
Добавить к созданному поставщику IDS/IPS-правил категорию IDS/IPS командой "add feed".
Пример создания пользовательского поставщика IDS/IPS-правил и категории IDS/IPS правил в нем в EDM CLIedmi-ips> add vendor --vendor positive --title "Positive Technologies Rules" --url https://raw.githubusercontent.com/ptresearch/AttackDetection/master OK edmi-ips> add feed --vendor positive --feed CVE-2016-3087 --description "Apache Dynamic Method Invocation vulnerability" --path CVE-2016-3087/cve-2016-3087.rules OK edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: positive Title: "Positive Technologies Rules" Licensed: false URL: https://raw.githubusercontent.com/ptresearch/AttackDetection/master edmi-ips> show files --vendor positive Supported rules files: 1. File: CVE-2016-3087 (0 items) File type: rules Path: CVE-2016-3087/cve-2016-3087.rules Description: "Apache Dynamic Method Invocation vulnerability" edmi-ips>
В текущей версии ПО в web-интерфейсе EDM Issue нельзя управлять пользовательскими поставщиками IDS/IPS-правил и категорий IDS/IPS-правил, но все изменения отображаются в подразделе "Подписки" раздела "Лицензия EDM".
Рисунок 4 – Созданный в EDM CLI пользовательский поставщик IDS/IPS-правил отображается в web-интерфейсе EDM Issue
Редактирование пользовательских поставщиков IDS/IPS-правил
Для редактирования пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Изменить параметры пользовательского поставщика IDS/IPS правил командой "edit vendor", указав имя изменяемого поставщика правил в параметре "--vendor".
Пример редактирования пользовательского поставщика IDS/IPS-правил в EDM CLIedmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: positive Title: "Positive Technologies Rules" Licensed: false URL: https://raw.githubusercontent.com/ptresearch/AttackDetection/master edmi-ips> edit vendor --vendor positive --title "Positive Technologies Rules with long description" OK edmi-ips> show vendors Licensed vendors:
Пример редактирования пользовательского поставщика IDS/IPS-правил в EDM CLI (продолжение)1. Name: kaspersky Title: Kaspersky Lab Licensed: true Other sources: 1. Name: positive Title: "Positive Technologies Rules with long description" Licensed: false URL: https://raw.githubusercontent.com/ptresearch/AttackDetection/master edmi-ips>
Редактирование категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил
Для редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Изменить параметры категории IDS/IPS-правил командой "edit feed", указав имя изменяемой категории IDS/IPS-правил в параметре "–feed" и имя поставщика IDS/IPS-правил, к которому относится категория, в параметре "--vendor".
Пример редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS правил в EDM CLIedmi-ips> show files --vendor positive Supported rules files: 1. File: CVE-2016-3087 (1 items) File type: rules Path: CVE-2016-3087/cve-2016-3087.rules Description: "Apache Dynamic Method Invocation vulnerability" Updated: 2021-08-10 02:32:14 Loaded: 2021-08-10 02:32:14 edmi-ips> edit feed --vendor positive --feed CVE-2016-3087 --description "Apache Dynamic Method Invocation vulnerability long description" OK edmi-ips> show files --vendor positive Supported rules files: 1. File: CVE-2016-3087 (1 items) File type: rules Path: CVE-2016-3087/cve-2016-3087.rules Description: "Apache Dynamic Method Invocation vulnerability long description" Updated: 2021-08-10 02:32:14 Loaded: 2021-08-10 02:32:14 edmi-ips>
Удаление категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил
Для удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Удалить категорию IDS/IPS-правил командой "delete feed".
Пример удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS правил в EDM CLIedmi-ips> delete feed --vendor positive --feed CVE-2016-3087 You will delete file CVE-2016-3087 for vendor "Positive Technologies Rules". Are you sure? (y/N) y OK edmi-ips>
Также из поставщика правил можно удалить все категории IDS/IPS-правил командой "delete feeds":
Пример удаления всех категорий IDS/IPS-правил из пользовательского поставщика IDS/IPS правил в EDM CLIedmi-ips> delete feeds --vendor positive You will delete all files for vendor "Positive Technologies Rules". Are you sure? (y/N) y OK edmi-ips>
Удаление пользовательских поставщиков IDS/IPS-правил
Для удаления пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Удалить пользовательского поставщика IDS/IPS-правил командой "delete vendor". При удалении пользовательского поставщика IDS/IPS-правил будут также удалены все указанные в нем категории правил.
Пример удаления пользовательского поставщика IDS/IPS-правил в EDM CLIedmi-ips> delete vendor --vendor positive You will delete vendor positive and all its files. Are you sure? (y/N) y OK edmi-ips>
Настройка интервала автоматической загрузки актуальных IDS/IPS-правил
За интервал автоматической загрузки актуальных IDS/IPS-правил отвечает параметр "ipsLoadIntervalMinutes" в настройках EDM Issue. Для изменения интервала автоматической загрузки актуальных IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
Установить новое значение параметра "ipsLoadIntervalMinutes" командой "set".
Пример изменения интервала загрузки актуальных IDS/IPS-правил в EDM CLIedmi-settings> show --param ipsLoadIntervalMinutes Load IPS data from Root-server interval in minutes ipsLoadIntervalMinutes = 15 edmi-settings> set --param ipsLoadIntervalMinutes --value 60 OK edmi-settings> show --param ipsLoadIntervalMinutes Load IPS data from Root-server interval in minutes ipsLoadIntervalMinutes = 60 edmi-settings>
Запуск процесса загрузки актуальных лицензируемых IDS/IPS-правил с EDM Root вручную
Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "load rules".
Пример запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLIedmi-ips> load rules Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Licensed rules is loaded from Root server! edmi-ips>
Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в web-интерфейсе требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Лицензия EDM".
- Перейти в подраздел "Подписки".
- Нажать кнопку "Root-сервер" в правой верхней части web-интерфейса. После нажатия кнопка станет неактивной на время процесса загрузки лицензируемых IDS/IPS-правил, а по его окончанию в правом верхнем углу появится всплывающее оповещение о результатах процесса синхронизации.
Рисунок 5 – Успешно завершенная загрузка актуальных лицензируемых IDS/IPS-правил через web-интерфейс EDM Issue
Запуск процесса загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную
Для запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "load rules --open True".
Пример запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLIedmi-ips> load rules --open True Upload IPS rules command 1 is created. Please wait... edmi-ips> Upload IPS rules command 1 is done! Open source rules is loaded! edmi-ips>
Для запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в web-интерфейсе требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Лицензия EDM".
- Перейти в подраздел "Подписки".
- Нажать кнопку "Внешние" в правой верхней части web-интерфейса. После нажатия кнопка станет неактивной на время процесса загрузки пользовательских IDS/IPS-правил, а по окончанию в правом верхнем углу появится всплывающее оповещение о результатах процесса синхронизации.
Рисунок 6 – Успешно завершенная загрузка актуальных пользовательских IDS/IPS-правил через web-интерфейс EDM Issue