Eltex Documentation
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

EDM Issue предоставляет возможность загружать и раздавать на клиентские устройства различный контент: как загружаемый с EDM Root согласно лицензии EDM, так и настроенный пользователем. На данный момент EDM Issue позволяет распространять только правила анализа трафика для системы IDS/IPS, функционирующей на маршрутизаторах ESR.

Администратор EDM Issue со своей стороны может:

  • просматривать информацию о поддерживаемых лицензируемых и пользовательских поставщиках IDS/IPS-правил;
  • просматривать информацию о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил;
  • создавать пользовательских поставщиков IDS/IPS-правил и категории правил внутри них;
  • редактировать пользовательских поставщиков IDS/IPS-правил;
  • редактировать категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
  • удалять категории IDS/IPS-правил внутри пользовательских поставщиков IDS/IPS-правил;
  • удалять пользовательских поставщиков IDS/IPS-правил;
  • настраивать интервал автоматической загрузки актуальных лицензируемых и пользовательских IDS/IPS-правил;
  • запускать процесс загрузки актуальных лицензируемых IDS/IPS-правил с EDM Root вручную;
  • запускать процесс загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную.

Просмотр информации о поставщиках IDS/IPS-правил

Для просмотра информации о поставщиках IDS/IPS-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".
  3. Ввести команду "show vendors".
Пример вывода информации о поставщиках IDS/IPS-правил в EDM CLI
edmi-ips> show vendors
Licensed vendors:

1. Name: kaspersky
Title: Kaspersky Lab
Licensed: true
gid: 11

Other sources:

1. Name: suricata
Title: suricata
Licensed: false
URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/
gid: 101

edmi-ips>

Для просмотра информации о поставщиках IDS/IPS-правил через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Контент".
  3. Под названием раздела располагаются подразделы в виде списка правил для каждого доступного поставщика (рисунок 7). Порядок отображения поставщиков следующий: сначала полужирным шрифтом отображается список лицензируемых поставщиков, после идет список пользовательских поставщиков без выделения.


Рисунок 7 – Просмотр информации о поставщиках IDS/IPS-правил через web-интерфейс EDM Issue

Просмотр информации о поддерживаемых в поставщиках IDS/IPS-правил категориях IDS/IPS-правил

При просмотре информации о поддерживаемых категориях IDS/IPS-правил у каждого загруженного файла или категории есть дата обновления и дата загрузки (updated/loaded time). Дата загрузки – это всегда дата обновления IDS/IPS-правил на EDM Issue. Дата обновления для лицензируемых поставщиков IDS/IPS-правил – это дата обновления правил на EDM Root, а для пользовательских поставщиков IDS/IPS-правил эта дата совпадет с датой обновления IDS/IPS-правил на EDM Issue.

Каждая категория IDS/IPS-правил может содержать файлы нескольких типов:

  • Файл с правилами для системы IDS/IPS;
  • Файл с хешами, которые используются при анализе и обнаружении подозрительного трафика системой IDS/IPS;
  • Файл с классификацией правил для классификации правил в системе IDS/IPS.

В текущей версии EDM существует небольшая неточность. EDM Issue CLI в выводе команды "show files" в разделе "ips" оперирует не категориями правил, а именами скачиваемых и затем распространяемых файлов.

Для просмотра информации о поддерживаемых категориях IDS/IPS-правил для определенного поставщика IDS/IPS-правил через CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".
  3. Ввести команду "show files --vendor <Имя поставщика IDS/IPS-правил>".


Пример вывода информации о категориях IDS/IPS-правил в EDM CLI
edmi-ips> show files --vendor kaspersky
Supported rules files:

1. File: PhishingURLsDF (10215 items)
File type: rules
EN description: a set of URLs with context that cover phishing websites and web pages
RU description: набор URL-адресов фишинговых сайтов и веб-страниц
Updated: 2022-11-29 12:16:15
Loaded: 2022-11-29 12:19:57

2. File: MobileBotnetCAndCDF (11327 items)
File type: rules
EN description: set of URLs with context that cover mobile botnet C&C servers
RU description: набор URL-адресов с контекстной информацией для выявления командных серверов ботнетов, использующих мобильные устройства
Updated: 2022-11-29 12:16:37
Loaded: 2022-11-29 12:19:57

3. File: BotnetCAndCURLsDF (10802 items)
File type: rules
EN description: a set of URLs with context that cover desktop botnet C&C servers and related malicious objects
RU description: набор URL-адресов командных серверов ботнетов и связанных с ними вредоносных объектов
Updated: 2022-11-29 12:16:06
Loaded: 2022-11-29 12:19:57

4. File: RansomwareURLsDF (8000 items)
File type: rules
EN description: a set of URLs, domains, and hosts with context that cover ransomware links and websites
RU description: набор URL-адресов, доменов и хостов, используемых для распространения шифровальщиков
Updated: 2022-11-29 12:15:09
Loaded: 2022-11-29 12:19:57

5. File: MaliciousURLsDF (11529 items)
File type: rules
EN description: set of URLs with context that cover malicious websites and web pages
RU description: набор URL-адресов, соответствующих опасным ссылкам и веб-сайтам
Updated: 2022-11-29 12:16:24
Loaded: 2022-11-29 12:19:57

6. File: IPReputationDF (8000 items)
File type: rules
EN description: set of IP addresses with context that cover different categories of suspicious and malicious hosts
RU description: набор IP-адресов с контекстной информацией о подозрительных и вредоносных узлах
Updated: 2022-11-29 12:16:54
Loaded: 2022-11-29 12:19:57

7. File: MaliciousHashDF (1 items)
File type: rules
EN description: a set of hashes of malicious objects
RU description: набор файловых хэшей, охватывающий наиболее опасные и распространенные, а также самые новые вредоносные программы
Updated: 2022-11-29 12:15:32
Loaded: 2022-11-29 12:19:57

8. File: IoTURLsDF (8000 items)
File type: rules
EN description: a set of URLs with context covering malware that infects IoT (Internet of Things) devices
RU description: набор URL-адресов веб-сайтов, используемых для размещения вредоносных программ, заражающих устройства IoT (Internet of Things)
Updated: 2022-11-29 12:16:46
Loaded: 2022-11-29 12:19:57

9. File: MobileMaliciousHashDF (1 items)
File type: rules
EN description: a set of hashes of malicious objects for mobile platforms
RU description: набор файловых хэшей для обнаружения вредоносных объектов, заражающих мобильные устройства
Updated: 2022-11-29 12:17:08
Loaded: 2022-11-29 12:19:57

Supported hash files:

1. File: MobileMaliciousHashDF_md5.txt
File type: hash
Updated: 2022-11-29 12:17:07
Loaded: 2022-11-29 12:19:57

2. File: MaliciousHashDF_md5.txt
File type: hash
Updated: 2022-11-29 12:15:31
Loaded: 2022-11-29 12:19:57

Supported config files:

1. File: classification.config
File type: config
Updated: 2022-11-23 13:15:10
Loaded: 2022-11-29 12:19:57

edmi-ips>

В текущей версии EDM существует небольшая неточность. EDM Issue в web-интерфейсе отображает не категории правил, а имена загруженных файлов.

Для просмотра информации о поставщиках файлов и доступных в них категориях через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в раздел "Контент".
  3. Перейти в подраздел поставщика, информацию о категориях которого необходимо получить.

Рисунок 8 – Информация о доступных поставщиках IDS/IPS-правил и категорий IDS/IPS-правил в web-интерфейсе EDM Issue

Создание пользовательских поставщиков IDS/IPS-правил и категорий IDS/IPS-правил внутри них

EDM Issue позволяет создавать и распространять пользовательские IDS/IPS-правила, скачиваемые с внешних источников по протоколам HTTP и HTTPS, и отдавать их на клиентские устройства, сохраняя структуру отдачи IDS/IPS-правил как для лицензируемых поставщиков IDS/IPS-правил. Для того чтобы EDM Issue смог скачивать и раздавать такие правила, требуется создать пользовательского поставщика IDS/IPS-правил, а затем добавить в него требуемое количество категорий распространяемых правил.

Правила пользовательских поставщиков IDS/IPS-правил скачиваются по протоколам HTTP либо HTTPS, поэтому для каждой категории IDS/IPS-правил в пользовательcком поставщике правил должна быть сформирована URL-ссылка на скачиваемый файл с правилами.

URL-ссылка формируется из двух частей:

  1. Base URL – задается в параметре "–url" в команде "add vendor" при создании пользовательского поставщика IDS/IPS-правил.
  2. Category path – задается в параметре "–path" в команде "add feed" при создании пользовательской категории IDS/IPS-правил.

В результате этого при запуске процесса обновления правил пользовательских поставщиков IDS/IPS-правил:

  1. Будет произведена попытка загрузки файла c классификацией правил по пути <Base URL>classification.conf. Если файл не будет найден по указанному пути, то EDM будет считать, что для указанного пользовательского поставщика IDS/IPS-правил файл с классификацией правил отсутствует.
  2. Для каждой категории IDS/IPS-правил будет произведена попытка загрузки файла с правилами по пути <Base URL><Category path>. Если такой файл не будет найден, то EDM будет считать, что для указанной категории IDS/IPS-правил правила не заданы.

Для создания пользовательского поставщика IDS/IPS-правил с категорией распространяемых IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".
  3. Добавить нового поставщика IDS/IPS-правил командой "add vendor".

  4. Добавить к созданному поставщику IDS/IPS-правил категорию IDS/IPS командой "add feed".

    Пример создания пользовательского поставщика IDS/IPS-правил и категории IDS/IPS-правил в нем в EDM CLI
    edmi-ips> add vendor --vendor suricata --url https://rules.emergingthreats.net/open/suricata-4.0/rules/ --title Suricata rules
OK
edmi-ips> add feed --feed drop --path drop.rules --vendor suricata --en Rules to block Spamhaus DROP listed networks --ru Правила блокировки сетей из списка Spamhaus DROP
OK
edmi-ips> show vendors
Licensed vendors:

1. Name: kaspersky
Title: Kaspersky Lab
Licensed: true
gid: 11

Other sources:

1. Name: suricata
Title: suricata
Licensed: false
URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/
gid: 101

edmi-ips>

Редактирование пользовательских поставщиков IDS/IPS-правил

Для редактирования пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Изменить параметры пользовательского поставщика IDS/IPS правил командой "edit vendor", указав имя изменяемого поставщика правил в параметре "--vendor".

    Пример редактирования пользовательского поставщика IDS/IPS-правил в EDM CLI
    edmi-ips> show vendors 
Licensed vendors:

1. Name: kaspersky
Title: Kaspersky Lab
Licensed: true
gid: 11

Other sources:

1. Name: suricata
Title: suricata
Licensed: false
URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/
gid: 101

edmi-ips> edit vendor --vendor suricata --title Suricata Rules
OK
edmi-ips> show vendors 
Licensed vendors:

1. Name: kaspersky
Title: Kaspersky Lab
Licensed: true
gid: 11

Other sources:

1. Name: suricata
Title: Suricata Rules
Licensed: false
URL: https://rules.emergingthreats.net/open/suricata-4.0/rules/
gid: 101

edmi-ips>

Редактирование категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил

Для редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Изменить параметры категории IDS/IPS-правил командой "edit feed", указав имя изменяемой категории IDS/IPS-правил в параметре "–feed" и имя поставщика IDS/IPS-правил, к которому относится категория, в параметре "--vendor".

    Пример редактирования категории IDS/IPS-правил в пользовательском поставщике IDS/IPS-правил в EDM CLI
    edmi-ips> show files --vendor suricata
Supported rules files:

1. File: drop (36 items)
File type: rules
Path: drop.rules
EN description: Rules to block Spamhaus DROP listed networks
RU description: Правила блокировки сетей из списка
Updated: 2022-11-29 14:36:53
Loaded: 2022-11-29 14:36:53

Supported config files:

1. File: classification.config
File type: config
Updated: 2022-11-29 14:36:54
Loaded: 2022-11-29 14:36:54

edmi-ips> edit feed --feed drop --vendor suricata --en Drop rule
OK
edmi-ips> show files --vendor suricata
Supported rules files:

1. File: drop (36 items)
File type: rules
Path: drop.rules
EN description: Drop rule
RU description: Правила блокировки сетей из списка
Updated: 2022-11-29 14:36:53
Loaded: 2022-11-29 14:36:53

Supported config files:

1. File: classification.config
File type: config
Updated: 2022-11-29 14:36:54
Loaded: 2022-11-29 14:36:54

edmi-ips>

Удаление категорий IDS/IPS-правил в пользовательских поставщиках IDS/IPS-правил

Для удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Удалить категорию IDS/IPS-правил командой "delete feed".

    Пример удаления категории IDS/IPS-правил из пользовательского поставщика IDS/IPS-правил в EDM CLI
    edmi-ips> delete feed --feed drop --vendor suricata
You will delete file drop for vendor Suricata Rules. Are you sure? (y/N) y
OK
edmi-ips>

    Также из поставщика правил можно удалить все категории IDS/IPS-правил командой "delete feeds".

    edmi-ips> delete feeds --vendor suricata
You will delete all files for vendor Suricata Rules. Are you sure? (y/N) y
OK
edmi-ips>

Удаление пользовательских поставщиков IDS/IPS-правил

Для удаления пользовательского поставщика IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Удалить пользовательского поставщика IDS/IPS-правил командой "delete vendor". При удалении пользовательского поставщика IDS/IPS-правил будут также удалены все указанные в нем категории правил.

    Пример удаления пользовательского поставщика IDS/IPS-правил в EDM CLI
    edmi-ips> delete vendor --vendor suricata
You will delete vendor suricata and all its files. Are you sure? (y/N) y
OK
edmi-ips>

Настройка интервала автоматической загрузки актуальных IDS/IPS-правил

За интервал автоматической загрузки актуальных IDS/IPS-правил отвечает параметр "ipsLoadIntervalMinutes" в настройках EDM Issue.

Для изменения интервала автоматической загрузки актуальных IDS/IPS-правил через EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "settings".
  3. Установить новое значение параметра "ipsLoadIntervalMinutes" командой "set".
Пример изменения интервала загрузки актуальных IDS/IPS-правил в EDM CLI
edmi-settings> show --param ipsLoadIntervalMinutes
Load IPS data from Root-server interval in minutes
ipsLoadIntervalMinutes = 15 [default]

edmi-settings> set --param ipsLoadIntervalMinutes --value 60
OK
edmi-settings> show --param ipsLoadIntervalMinutes
Load IPS data from Root-server interval in minutes
ipsLoadIntervalMinutes = 60

edmi-settings>

Для изменения интервала автоматической загрузки актуальных IDS/IPS-правил через web-интерфейс требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Настройки".
  3. Перейти к категории настроек "Функциональные настройки EDM Loader".
  4. Установить новое значение параметра "Интервал загрузки контента с Root-сервера".

Запуск процесса загрузки актуальных IDS/IPS-правил лицензируемых поставщиков с EDM Root вручную

Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Ввести команду "load content –vendor <VENDOR>", где <VENDOR> - имя лицензионного поставщика, для которого необходимо выполнить загрузку IDS/IPS-правил.

    Пример запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в EDM CLI
    edmi-ips> load content --vendor kaspersky
Upload IPS content for vendor 'kaspersky' command 98 is created. Please wait...
edmi-ips> Upload IPS content for vendor 'kaspersky' command 98 is done!

edmi-ips>

Для запуска ручной загрузки актуальных лицензируемых IDS/IPS-правил в web-интерфейсе требуется:

  1. Авторизоваться в web-интерфейсе EDM Issue.
  2. Перейти в меню в раздел "Контент".
  3. Перейти в подраздел поставщика, правила которого необходимо загрузить.
  4. Нажать кнопку "Загрузить контент" в правой верхней части web-интерфейса. После нажатия кнопка станет неактивной на время процесса загрузки IDS/IPS-правил, а по его окончании в правом верхнем углу появится всплывающее оповещение о результатах процесса синхронизации.

Рисунок 9 – Успешно завершенная загрузка актуальных лицензируемых IDS/IPS-правил через web-интерфейс EDM Issue

Запуск процесса загрузки актуальных пользовательских IDS/IPS-правил с внешних источников вручную

Для запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLI требуется:

  1. Запустить EDM CLI.
  2. Перейти в раздел "ips".

  3. Ввести команду "load ips-rules --vendor<VENDOR>", где <VENDOR> – имя поставщика, созданного пользователем, для которого необходимо выполнить загрузку IDS/IPS-правил.

    Пример запуска ручной загрузки актуальных пользовательских IDS/IPS-правил в EDM CLI
    edmi-ips> load ips-rules --vendor suricata
Upload IPS rules for vendor 'suricata' command 99 is created. Please wait...
edmi-ips> Upload IPS rules for vendor 'suricata' command 99 is done!
 
edmi-ips>

В web-интерфейсе EDM Issue можно загрузить  IDS/IPS-правила пользовательских поставщиков в разделе "Контент" в подразделе нужного поставщика. При нажатии кнопки "Загрузить контент" начнется процесс загрузки правил, в случае успешного завершения процесса появится всплывающее сообщение, сообщающее о завершении команды.

  • Нет меток