Правила мониторинга Runtime Application Protection
Материал из Документация Ключ-АСТРОМ
Правила Ключ-АСТРОМ Runtime Application Protection позволяют
- Настройте детальные правила мониторинга атак на основе групп процессов или типов уязвимостей, которые переопределяют глобальные настройки управления атаками.
- Добавьте атаки, которые вы не считаете опасными , в белый список по исходным IP-адресам или шаблонам атак.
Определить конкретные правила контроля атаки
На основе группы процессов или типа атаки вы можете создать правило для блокировки, отслеживания или игнорирования атаки. Это отменяет глобальный контроль атаки.
- В меню Ключ-АСТРОМ перейдите в «Настройки» .
- Выберите Безопасность приложений > Защита приложений > Правила мониторинга .
- Выберите Добавить новое правило .
- Укажите критерии для этого правила:
- Группа процессов — выберите или введите группу процессов, к которой вы хотите применить эту конфигурацию. Оставьте его пустым, если группа процессов не имеет значения.
- Тип атаки — выберите тип атаки (
SQL injection
,Command injection
,JNDI injection
илиAny
), к которому применяется эта конфигурация.
- Укажите, как контролировать атаку, соответствующую критериям правила:
Off; incoming attacks NOT detected or blocked.
Monitor; incoming attacks detected only.
Block; incoming attacks detected and blocked.
- Выберите Сохранить изменения .
Примечание. Вы можете редактировать, отключать, включать или удалять правила в любое время.
Определить правила исключений
На основе исходного IP-адреса атаки или шаблона атаки вы можете создать правило мониторинга исключений для атаки.
- В меню Ключ-АСТРОМ перейдите в «Настройки» .
- Выберите Безопасность приложений > Защита приложений > Белый список .
- Выберите Добавить новое правило-исключение .
- Введите IP-адрес источника (адрес IPv4 или IPv6) атаки, для которой вы хотите создать исключение. Диапазоны IP-адресов могут быть определены с помощью нотации CIDR.
- необязательныйВведите шаблон атаки . Шаблон атаки может быть любой строкой, которую злоумышленник использует во вредоносной полезной нагрузке атаки. Примеры шаблонов:
OR 1=1 -- 0
admin'--
; DROP members--
; cat /etc/passwd
- Укажите, как контролировать атаку, соответствующую критериям:
Off; incoming attacks NOT detected or blocked.
– Не отслеживать (игнорировать) IP-адрес.Monitor; incoming attacks detected only.
– Контролируйте IP-адрес, но не блокируйте его.
- Выберите Сохранить изменения .
Примечание. Вы можете редактировать, отключать, включать или удалять правила в любое время.