Polityki

Polityki to grupy definicji scenariuszy pozwalające na proaktywny monitoring przebiegu sesji. W przypadku wykrycia scenariusza, Fudo Enterprise może automatycznie wykonać stosowne akcje oraz powiadomić administratora.


Fudo Enterprise umożliwia budowanie mechanizmu na podstawie modułu AI lub Wzorca (Wyrażenia regularnego):

  • przy wyborze moduł AI jako podstawy polityki, polityka będzie uruchamiana, kiedy pewien próg Prawdopodobieństwa Zagrożenia zostanie przekroczony;
  • kiedy się wybierze wzorzec jako podstawę polityki, system będzie się spodziewał podania scenariusza dla wykrycia konkretnych danych wejściowych / wyjściowych.

Obydwa rodzaje polityk reagują konkretną sekwencją działań, kiedy scenariusz polityki wykonuje się użytkownikiem podczas sesji:

  • wysłanie wiadomości mailowej,
  • wysłanie powiadomienia SNMP TRAP,
  • wstrzymanie sesji,
  • przerwanie sesji,
  • blokowanie użytkownika.

Definiowanie polityki na podstawie modułu AI


Aby skonfigurować politykę na podstawie modułu AI, postępuj zgodnie z instrukcją:

  1. Wybierz Zarządzanie > Polityki.
  2. Kliknij Dodaj politykę.
  3. Podaj nazwę dla polityki.
../../_images/5-3-pl-policies-ai.png

  1. Wybierz czynności do wykonania, kiedy scenariusz polityki będzie wykryty podczas sesji:

    • - Wyślij email.

    Informacja

    Wysłanie wiadomości mailowej wymaga konfiguracji oraz uruchomienia usługi notyfikacji, a także ustawienia notyfikacji typu Sesja AI w Sejfie.

    ../../_images/5-3-powiadomienia-ai.png
    • - Wyślij notyfikację SNMP TRAP.

    Informacja

    Wysłanie powiadomień SNMP TRAP wymaga konfiguracji SNMPv3 TRAP w zakładce Ustawienia > System. Wejdź do stronki SNMPv3 TRAP po więcej informacji.

    • - wstrzymaj sesję.
    • - zakończ sesję.
    • - zablokuj użytkownika.

Ostrzeżenie

Jeśli usługa SNMP TRAP nie została skonfigurowana, powiadomienia o naruszeniu polityki nie będą dostarczane, ale reszta opcji będzie wykonywana.

  1. Wybierz Poziom zagrożenia. Ten parametr jest wykorzystywany przy wysłaniu wiadomości mailowej oraz dodawany do Dziennika zdarzeń z kodem FSW0284.
  2. Zaznacz Moduł AI w polu Typ polityki.
  3. Wybierz opcję min, średni albo maks w polu Prawdopodobieństwo zagrożenia, podaj wartość.

Informacja

Wartości dla Prawdopodobieństwa zagrożenia są kalkulowane modelem behawioralnym dla każdego segmentu sesji. Oceny segmentów są uśredniane per model (Mouse Biometric, Keyboard Biometric), tworząc Prawdopodobieństwo zagrożenia Modelu, co powoduje, że moduł AI dostarcza jedną wartość dla Prawdopodobieństwa zagrożenia dla całej sesji. Te wartości są wykorzystywane w polityce, a jej działania przeprowadzane na podstawie minimum, średniej bądź maksimum wartości Prawdopodobieństwo zagrożenia Modelu.

W praktyce, jeśli administrator chce zmniejszyć czułość polityki w taki sposób, by ona reagowała na przekroczenie progu przez wszystkie modele, Prawdopodobieństwo zagrożenia ustawia się na minimum. Jeśli sytuacja wymaga, by polityka była bardziej czuła i wykonywała akcje po przekroczeniu progu przez co najmniej jeden model, wtedy Prawdopodobieństwo zagrożenia ustawia się na maximum.

Domyślnie wybrana opcja dla Prawdopodobieństwa zagrożenia jest średni.

  • Aby uniknąć nadmiernej liczby e-maili i niepotrzebnych działań, minimalna zalecana wartość dla Prawdopodobieństwa zagrożenia to 75%.
  • Dla drastycznych akcji, na przykład przerwanie połączenia bądź blokowania użytkownika, jest polecane korzystanie z maksymalnych progów, aby zminimalizować konsekwencje fałszywie dodatnich wyników.
  1. Kliknij Zapisz.

Informacja

Dodaj stworzoną politykę do sejfu, wykorzystywanego do połączeń.

../../_images/add-policy-to-safe.png

Przykłady definiowania polityki na podstawie modułu AI

Przykład 1. Wysyłanie notyfikacji SNMP TRAP o podejrzanych sesjach.


Aby skonfigurować politykę, wysyłającą notyfikacje SNMP TRAP o podejrzanych sesjach, postępuj zgodnie z instrukcją:

  1. Stwórz użytkownika o roli service dla usługi SNMPv3:

    • Wybierz Zarządzanie > Użytkownicy.

    • Stwórz nowego użytkownika.

    • Wprowadź Login.

    • Wybierz service w polu Rola.

    • Wybierz Hasło w polu Typ uwierzytelniania i podaj hasło.

    • W sekcji SNMP podaj ustawienia:

      • Włącz SNMP.
      • Wybierz SHA albo MD5 w polu Metoda uwierzytelniania.
      • Wybierz AES albo DES w polu Szyfrowanie .

    • Kliknij Zapisz.

  2. Skonfiguruj SNMPv3 TRAP:

    • Wybierz Ustawienia > System.
    • Przewiń do sekcji Serwisowanie i nadzór.
    • Podaj adres serwera SNMPv3 TRAP oraz port.
    • Wybierz użytkownika o roli service, stworzonego na kroku 1.
    • Kliknij Zapisz.

  3. Stwórz politykę:

    • Wybierz Zarządzanie > Polityki.
    • Kliknij Dodaj politykę.
    • Podaj nazwę dla polityki.
    • Wybierz opcję SNMP TRAP.
    • Wybierz moduł AI w polu Typ polityki.
    • W polu Prawdopodobieństwo zagrożenia wybierz opcję (na przykład, średni) i podaj jej wartość (na przykład, 90%).
    • Kliknij Zapisz.

  4. Dodaj stworzoną politykę do sejfu, wykorzystywanego do połączeń.


Przykład 2. Przerwanie podejrzanych sesji, kiedy próg Prawdopodobieństwa zagrożenia zostanie przekroczony.


Aby skonfigurować politykę, przerywającą podejrzane sesje, kiedy próg Prawdopodobieństwa zagrożenia zostanie przekroczony, postępuj zgodnie z instrukcją:

  1. Stwórz politykę:

    • Wybierz Zarządzanie > Polityki.
    • Kliknij Dodaj politykę.
    • Podaj nazwę dla polityki.
    • Wybierz opcję Zakończ sesję.
    • Wybierz moduł AI w polu Typ polityki.
    • W polu Prawdopodobieństwo zagrożenia wybierz opcję (na przykład, średni) i podaj jej wartość (na przykład, 90%).
    • Kliknij Zapisz.

  2. Dodaj stworzoną politykę do sejfu, wykorzystywanego do połączeń.


Definiowanie polityki na podstawie wzorca

Informacja

Fudo Enterprise wspiera wyrażenia regularne opisane standardem POSIX Extended.

  1. Wybierz z lewego menu Zarządzanie > Polityki.
  2. Wybierz zakładkę Wzorce.
  3. Kliknij Dodaj wzorzec.
../../_images/5-1-wzorce-polityk.png
  1. Zdefiniuj nazwę i ciąg znaków stanowiący wzorzec.

Informacja

Fudo Enterprise nie rozpoznaje wzorców zdefiniowanych z użyciem znaku \ (backslash); np. \d, \D, \w, \W.

  1. Powtarzaj kroki 3-5, aby zdefiniować kolejne wzorce.
  1. Kliknij Zapisz.

Informacja

Przykłady wyrażeń regularnych

Komenda rm

(^|[^a-zA-Z])rm[[:space:]]

Komenda rm -rf (także -fr; -Rf; -fR)

(^|[^a-zA-Z])rm[[:space:]]+-([rR]f|f[rR])

Komenda rm file

(^|[^a-zA-Z])rm[[:space:]]+([^[:space:]]+[[:space:]]*)?/full/path/to/a/file([[:space:]]|\;|$)
(^|[^a-zA-Z])rm[[:space:]]+.*justafilename

Definiowanie polityk

  1. Wybierz z lewego menu Zarządzanie > Polityki.
  2. Kliknij Dodaj politykę.
../../_images/5-3-pl-policies-wzorzec.png
  1. Wprowadź nazwę dla definiowanej polityki.
  2. Określ akcje, które Fudo Enterprise podejmie z chwilą stwierdzenia wystąpienia któregoś ze wzorców.
  • - wyślij powiadomienie email do administratora systemu.
  • SNMP TRAP - wyślij powiadomienie SNMP TRAP.
  • - wstrzymaj połączenie.
  • - przerwij połączenie.
  • - zablokuj konto użytkownika.

Informacja

../../_images/5-3-powiadomienia-wzorzec.png
  • Wysłanie powiadomień SNMP TRAP wymaga konfiguracji SNMPv3 TRAP w zakładce Ustawienia > System. Wejdź do stronki SNMPv3 TRAP po więcej informacji.
  • Zablokowanie użytkownika powoduje automatyczne przerwanie połączenia.
  1. Wybierz wzorce śledzone w ramach danej polityki.
  2. Określ poziom zagrożenia dla dodawanej polityki.

Informacja

Informacja o poziomie zagrożenia zawarta jest w treści powiadomienia.

  1. Zaznacz opcję Dopasuj tylko dane wejściowe, aby system reagował tylko na treści wprowadzone przez użytkownika.

Informacja

W przypadku protokołów RDP, VNC i MySQL, przetwarzaniu podlegają tylko dane wejściowe.

  1. Kliknij Zapisz.

Informacja

Po utworzeniu polityki, przypisz ją do wybranego sejfu.

../../_images/add-policy-to-safe.png

Tematy pokrewne: