EDM Issue предоставляет возможность загружать и раздавать на клиентские устройства различный контент: как загружаемый с EDM Root согласно лицензии EDM, так и настроенный пользователем. На данный момент EDM Issue позволяет распространять только правила анализа трафика для системы IDS/IPS, функционирующей на маршрутизаторах ESR.
Администратор EDM Issue со своей стороны может:
- просматривать информацию о поддерживаемых лицензируемых и пользовательских поставщиках IDS/IPS-правил;
- просматривать информацию о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил;
- создавать пользовательских поставщиков IDS/IPS-правил и категории правил внутри них;
- редактировать пользовательских поставщиков IDS/IPS-правил;
- редактировать категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
- удалять категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
- удалять пользовательских поставщиков IDS/IPS-правил;
- настраивать интервал автоматической загрузки актуальных лицензируемых и пользовательских IDS/IPS-правил;
- запускать процесс загрузки актуальных лицензируемых IDS/IPS-правил с EDM Root вручную;
- запускать процесс загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную.
Просмотр информации о поставщиках IDS/IPS-правил
Для просмотра информации о поставщиках IDS/IPS-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
- Ввести команду "show vendors".
edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true gid: 11 Other sources: 1. Name: suricata Title: suricata Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ gid: 101 edmi-ips>
Для просмотра информации о поставщиках IDS/IPS-правил через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Контент".
- Под названием раздела располагаются подразделы в виде списка правил для каждого доступного поставщика (рисунок 7). Порядок отображения поставщиков следующий: сначала полужирным шрифтом отображается список лицензируемых поставщиков, после идет список пользовательских поставщиков без выделения.
Рисунок 7 – Просмотр информации о поставщиках IDS/IPS-правил через web-интерфейс EDM Issue
Просмотр информации о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил
При просмотре информации о поддерживаемых категориях IDS/IPS-правил у каждого загруженного файла или категории есть дата обновления и дата загрузки (updated/loaded time). Дата загрузки – это всегда дата обновления IDS/IPS-правил на EDM Issue. Дата обновления для лицензируемых поставщиков IDS/IPS-правил – это дата обновления правил на EDM Root, а для пользовательских поставщиков IDS/IPS-правил эта дата совпадет с датой обновления IDS/IPS-правил на EDM Issue.
Каждая категория IDS/IPS-правил может содержать файлы нескольких типов:
- Файл с правилами для системы IDS/IPS;
- Файл с хешами, которые используются при анализе и обнаружении подозрительного трафика системой IDS/IPS;
- Файл с классификацией правил для классификации правил в системе IDS/IPS.
В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов.
Для просмотра информации о поддерживаемых категориях IDS/IPS-правил для определенного поставщика IDS/IPS-правил через CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
- Ввести команду "show files --vendor <Имя поставщика IDS/IPS-правил>".
edmi-ips> show files --vendor kaspersky Supported rules files: 1. File: PhishingURLsDF (10215 items) File type: rules EN description: a set of URLs with context that cover phishing websites and web pages RU description: набор URL-адресов фишинговых сайтов и веб-страниц Updated: 2022-11-29 12:16:15 Loaded: 2022-11-29 12:19:57 2. File: MobileBotnetCAndCDF (11327 items) File type: rules EN description: set of URLs with context that cover mobile botnet C&C servers RU description: набор URL-адресов с контекстной информацией для выявления командных серверов ботнетов, использующих мобильные устройства Updated: 2022-11-29 12:16:37 Loaded: 2022-11-29 12:19:57 3. File: BotnetCAndCURLsDF (10802 items) File type: rules EN description: a set of URLs with context that cover desktop botnet C&C servers and related malicious objects RU description: набор URL-адресов командных серверов ботнетов и связанных с ними вредоносных объектов Updated: 2022-11-29 12:16:06 Loaded: 2022-11-29 12:19:57 4. File: RansomwareURLsDF (8000 items) File type: rules EN description: a set of URLs, domains, and hosts with context that cover ransomware links and websites RU description: набор URL-адресов, доменов и хостов, используемых для распространения шифровальщиков Updated: 2022-11-29 12:15:09 Loaded: 2022-11-29 12:19:57 5. File: MaliciousURLsDF (11529 items) File type: rules EN description: set of URLs with context that cover malicious websites and web pages RU description: набор URL-адресов, соответствующих опасным ссылкам и веб-сайтам Updated: 2022-11-29 12:16:24 Loaded: 2022-11-29 12:19:57 6. File: IPReputationDF (8000 items) File type: rules EN description: set of IP addresses with context that cover different categories of suspicious and malicious hosts RU description: набор IP-адресов с контекстной информацией о подозрительных и вредоносных узлах Updated: 2022-11-29 12:16:54 Loaded: 2022-11-29 12:19:57 7. File: MaliciousHashDF (1 items) File type: rules EN description: a set of hashes of malicious objects RU description: набор файловых хэшей, охватывающий наиболее опасные и распространенные, а также самые новые вредоносные программы Updated: 2022-11-29 12:15:32 Loaded: 2022-11-29 12:19:57 8. File: IoTURLsDF (8000 items) File type: rules EN description: a set of URLs with context covering malware that infects IoT (Internet of Things) devices RU description: набор URL-адресов веб-сайтов, используемых для размещения вредоносных программ, заражающих устройства IoT (Internet of Things) Updated: 2022-11-29 12:16:46 Loaded: 2022-11-29 12:19:57 9. File: MobileMaliciousHashDF (1 items) File type: rules EN description: a set of hashes of malicious objects for mobile platforms RU description: набор файловых хэшей для обнаружения вредоносных объектов, заражающих мобильные устройства Updated: 2022-11-29 12:17:08 Loaded: 2022-11-29 12:19:57 Supported hash files: 1. File: MobileMaliciousHashDF_md5.txt File type: hash Updated: 2022-11-29 12:17:07 Loaded: 2022-11-29 12:19:57 2. File: MaliciousHashDF_md5.txt File type: hash Updated: 2022-11-29 12:15:31 Loaded: 2022-11-29 12:19:57 Supported config files: 1. File: classification.config File type: config Updated: 2022-11-23 13:15:10 Loaded: 2022-11-29 12:19:57 edmi-ips>
В текущей версии EDM существует небольшая неточность. EDM Issue в web-интерфейсе отображает не категории правил, а имена загруженных файлов.
Для просмотра информации о поставщиках файлов и доступных в них категориях через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в раздел "Контент".
- Перейти в подраздел поставщика, информацию о категориях которого необходимо получить.
Рисунок 8 – Информация о доступных поставщиках IDS/IPS-правил и категорий IDS/IPS-правил в web-интерфейсе EDM Issue
Создание пользовательских поставщиков IDS/IPS-правил и категорий IDS/IPS-правил внутри них
EDM Issue позволяет создавать и распространять пользовательские IDS/IPS-правила, скачиваемые с внешних источников по протоколам HTTP и HTTPS, и отдавать их на клиентские устройства, сохраняя структуру отдачи IDS/IPS-правил как для лицензируемых поставщиков IDS/IPS-правил. Для того чтобы EDM Issue смог скачивать и раздавать такие правила, требуется создать пользовательского поставщика IDS/IPS-правил, а затем добавить в него требуемое количество категорий распространяемых правил.
Правила пользовательских поставщиков IDS/IPS-правил скачиваются по протоколам HTTP либо HTTPS, поэтому для каждой категории IDS/IPS-правил в пользовательcком поставщике правил должна быть сформирована URL-ссылка на скачиваемый файл с правилами.
URL-ссылка формируется из двух частей:
- Base URL – задается в параметре "–url" в команде "add vendor" при создании пользовательского поставщика IDS/IPS-правил.
- Category path – задается в параметре "–path" в команде "add feed" при создании пользовательской категории IDS/IPS-правил.
В результате этого при запуске процесса обновления правил пользовательских поставщиков IDS/IPS-правил:
- Будет произведена попытка загрузки файла c классификацией правил по пути <Base URL>classification.conf. Если файл не будет найден по указанному пути, то EDM будет считать, что для указанного пользовательского поставщика IDS/IPS-правил файл с классификацией правил отсутствует.
- Для каждой категории IDS/IPS-правил будет произведена попытка загрузки файла с правилами по пути <Base URL><Category path>. Если такой файл не будет найден, то EDM будет считать, что для указанной категории IDS/IPS-правил правила не заданы.
Для создания пользовательского поставщика IDS/IPS-правил с категорией распространяемых IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
- Добавить нового поставщика IDS/IPS-правил командой "add vendor".
Добавить к созданному поставщику IDS/IPS-правил категорию IDS/IPS командой "add feed".
Пример создания пользовательского поставщика IDS/IPS-правил и категории IDS/IPS-правил в нем в EDM CLIedmi-ips> add vendor --vendor suricata --url https://rules.emergingthreats.net/open/suricata-4.0/rules/ --title Suricata rules OK edmi-ips> add feed --feed drop --path drop.rules --vendor suricata --en Rules to block Spamhaus DROP listed networks --ru Правила блокировки сетей из списка Spamhaus DROP OK edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true gid: 11 Other sources: 1. Name: suricata Title: suricata Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ gid: 101 edmi-ips>
Редактирование пользовательских поставщиков IDS/IPS-правил
Для редактирования пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Изменить параметры пользовательского поставщика IDS/IPS правил командой "edit vendor", указав имя изменяемого поставщика правил в параметре "--vendor".
Пример редактирования пользовательского поставщика IDS/IPS-правил в EDM CLIedmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true gid: 11 Other sources: 1. Name: suricata Title: suricata Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ gid: 101 edmi-ips> edit vendor --vendor suricata --title Suricata Rules OK edmi-ips> show vendors Licensed vendors: 1. Name: kaspersky Title: Kaspersky Lab Licensed: true gid: 11 Other sources: 1. Name: suricata Title: Suricata Rules Licensed: false URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/ gid: 101 edmi-ips>
Редактирование категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил
Для редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Изменить параметры категории IDS/IPS-правил командой "edit feed", указав имя изменяемой категории IDS/IPS-правил в параметре "–feed" и имя поставщика IDS/IPS-правил, к которому относится категория, в параметре "--vendor".
Пример редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил в EDM CLIedmi-ips> show files --vendor suricata Supported rules files: 1. File: drop (36 items) File type: rules Path: drop.rules EN description: Rules to block Spamhaus DROP listed networks RU description: Правила блокировки сетей из списка Updated: 2022-11-29 14:36:53 Loaded: 2022-11-29 14:36:53 Supported config files: 1. File: classification.config File type: config Updated: 2022-11-29 14:36:54 Loaded: 2022-11-29 14:36:54 edmi-ips> edit feed --feed drop --vendor suricata --en Drop rule OK edmi-ips> show files --vendor suricata Supported rules files: 1. File: drop (36 items) File type: rules Path: drop.rules EN description: Drop rule RU description: Правила блокировки сетей из списка Updated: 2022-11-29 14:36:53 Loaded: 2022-11-29 14:36:53 Supported config files: 1. File: classification.config File type: config Updated: 2022-11-29 14:36:54 Loaded: 2022-11-29 14:36:54 edmi-ips>
Удаление категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил
Для удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Удалить категорию IDS/IPS-правил командой "delete feed".
Пример удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS-правил в EDM CLIedmi-ips> delete feed --feed drop --vendor suricata You will delete file drop for vendor Suricata Rules. Are you sure? (y/N) y OK edmi-ips>
Также из поставщика правил можно удалить все категории IDS/IPS-правил командой "delete feeds".
edmi-ips> delete feeds --vendor suricata You will delete all files for vendor Suricata Rules. Are you sure? (y/N) y OK edmi-ips>
Удаление пользовательских поставщиков IDS/IPS-правил
Для удаления пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Удалить пользовательского поставщика IDS/IPS-правил командой "delete vendor". При удалении пользовательского поставщика IDS/IPS-правил будут также удалены все указанные в нем категории правил.
Пример удаления пользовательского поставщика IDS/IPS-правил в EDM CLIedmi-ips> delete vendor --vendor suricata You will delete vendor suricata and all its files. Are you sure? (y/N) y OK edmi-ips>
Настройка интервала автоматической загрузки актуальных IDS/IPS-правил
За интервал автоматической загрузки актуальных IDS/IPS-правил отвечает параметр "ipsLoadIntervalMinutes" в настройках EDM Issue.
Для изменения интервала автоматической загрузки актуальных IDS/IPS-правил через EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "settings".
- Установить новое значение параметра "ipsLoadIntervalMinutes" командой "set".
edmi-settings> show --param ipsLoadIntervalMinutes Load IPS data from Root-server interval in minutes ipsLoadIntervalMinutes = 15 [default] edmi-settings> set --param ipsLoadIntervalMinutes --value 60 OK edmi-settings> show --param ipsLoadIntervalMinutes Load IPS data from Root-server interval in minutes ipsLoadIntervalMinutes = 60 edmi-settings>
Для изменения интервала автоматической загрузки актуальных IDS/IPS-правил через web-интерфейс требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Настройки".
- Перейти к категории настроек "Функциональные настройки EDM Loader".
- Установить новое значение параметра "Интервал загрузки контента с Root-сервера".
Запуск процесса загрузки актуальных IDS/IPS-правил лицензируемых поставщиков с EDM Root вручную
Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "load content –vendor <VENDOR>", где <VENDOR> - имя лицензионного поставщика, для которого необходимо выполнить загрузку IDS/IPS-правил.
Пример запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLIedmi-ips> load content --vendor kaspersky Upload IPS content for vendor 'kaspersky' command 98 is created. Please wait... edmi-ips> Upload IPS content for vendor 'kaspersky' command 98 is done! edmi-ips>
Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в web-интерфейсе требуется:
- Авторизоваться в web-интерфейсе EDM Issue.
- Перейти в меню в раздел "Контент".
- Перейти в подраздел поставщика, правила которого необходимо загрузить.
- Нажать кнопку "Загрузить контент" в правой верхней части web-интерфейса. После нажатия кнопка станет неактивной на время процесса загрузки IDS/IPS-правил, а по его окончании в правом верхнем углу появится всплывающее оповещение о результатах процесса синхронизации.
Рисунок 9 – Успешно завершенная загрузка актуальных лицензируемых IDS/IPS-правил через web-интерфейс EDM Issue
Запуск процесса загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную
Для запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLI требуется:
- Запустить EDM CLI.
- Перейти в раздел "ips".
Ввести команду "load ips-rules --vendor<VENDOR>", где <VENDOR> – имя поставщика, созданного пользователем, для которого необходимо выполнить загрузку IDS/IPS-правил.
Пример запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLIedmi-ips> load ips-rules --vendor suricata Upload IPS rules for vendor 'suricata' command 99 is created. Please wait... edmi-ips> Upload IPS rules for vendor 'suricata' command 99 is done! edmi-ips>
В web-интерфейсе EDM Issue можно загрузить IDS/IPS-правила пользовательских поставщиков в разделе "Контент" в подразделе нужного поставщика. При нажатии кнопки "Загрузить контент" начнется процесс загрузки правил, в случае успешного завершения процесса появится всплывающее сообщение, сообщающее о завершении команды.