Definiowanie polityki na podstawie modułu AI


Aby skonfigurować politykę opartą na module AI, postępuj zgodnie z poniższymi krokami:

  1. Wybierz Zarządzanie > Polityki.
  2. Kliknij Dodaj politykę.
  3. Podaj nazwę dla polityki.
  4. Wybierz Poziom zagrożenia. Ten parametr jest wykorzystywany przy wysłaniu wiadomości mailowej oraz dodawany do Dziennika zdarzeń z kodem FSW0284.
  5. W sekcji Typ polityki wybierz przycisk Moduł AI.
  6. Wybierz opcję min, średni albo maks w polu Prawdopodobieństwo zagrożenia, podaj wartość.

Informacja

Wartości dla Prawdopodobieństwa zagrożenia są kalkulowane modelem behawioralnym dla każdego segmentu sesji. Oceny segmentów są uśredniane per model (Mouse Biometric, Keyboard Biometric), tworząc Prawdopodobieństwo zagrożenia Modelu, co powoduje, że moduł AI dostarcza jedną wartość dla Prawdopodobieństwa zagrożenia dla całej sesji. Te wartości są wykorzystywane w polityce, a jej działania przeprowadzane na podstawie minimum, średniej bądź maksimum wartości Prawdopodobieństwo zagrożenia Modelu.


W praktyce, jeśli administrator chce zmniejszyć czułość polityki w taki sposób, by ona reagowała na przekroczenie progu przez wszystkie modele, Prawdopodobieństwo zagrożenia ustawia się na minimum. Jeśli sytuacja wymaga, by polityka była bardziej czuła i wykonywała akcje po przekroczeniu progu przez co najmniej jeden model, wtedy Prawdopodobieństwo zagrożenia ustawia się na maximum.

Domyślnie wybrana opcja dla Prawdopodobieństwa zagrożenia jest średni.

Aby uniknąć nadmiernej liczby e-maili i niepotrzebnych działań, minimalna zalecana wartość dla Prawdopodobieństwa zagrożenia to 75%.

../../_images/5-5-policy-ai-add.png
  1. Wybierz akcje, które zostaną wykonane w przypadku naruszenia polityki:

    • - wysłanie powiadomienia e-mail do administratora systemu.
    • - wysłanie powiadomienia SNMP TRAP do odbiorcy.
    • - wstrzymanie połączenia.
    • - zakończenie połączenia.
    • - zablokowanie użytkownika.

Informacja

  • Wysyłanie powiadomień e-mail wymaga skonfigurowania i włączenia usługi powiadomień oraz włączenia powiadomień Sesja AI w konfiguracji Sejfu.
../../_images/5-5-policy-ai-safe-notification.png
  • Wysyłanie powiadomień SNMP TRAP wymaga skonfigurowania SNMPv3 TRAP w zakładce Ustawienia > System. Sprawdź rozdział SNMPv3 TRAP aby uzyskać więcej informacji.

Ostrzeżenie

Jeśli usługa SNMP TRAP nie została skonfigurowana, powiadomienia o naruszeniu polityki nie będą dostarczane, ale reszta opcji będzie wykonywana.

  1. Kliknij Zapisz.

Przykłady polityk opartych na module AI

Przykład 1. Wysyłanie powiadomień SNMP TRAP o podejrzanych sesjach.


Aby skonfigurować politykę do wysyłania powiadomień SNMPv3 TRAP o podejrzanych sesjach, postępuj zgodnie z procedurą:

  1. Utwórz użytkownika o roli service dla usługi SNMPv3:

    • Wybierz Zarządzanie > Użytkownicy.

    • Utwórz nowego użytkownika.

    • Wprowadź Login.

    • Wybierz service w polu Rola.

    • Wybierz Hasło w sekcji Uwierzytelnianie i podaj swoje hasło.

    • Przejdź do zakładki Więcej, do sekcji SNMP i zdefiniuj ustawienia:

      • Włącz SNMP.
      • Wybierz SHA lub MD5 w polu Metoda uwierzytelniania.
      • Wybierz AES lub DES w polu Szyfrowanie.
    • Kliknij Zapisz.

  2. Skonfiguruj SNMPv3 TRAP:

    • Wybierz Ustawienia > System.
    • Przewiń do sekcji Serwisowanie i nadzór.
    • Wybierz opcję SNMPv3 TRAP.
    • Skonfiguruj adres serwera SNMPv3 TRAP oraz port.
    • Wybierz użytkownika z rolą service utworzonego w kroku 1.
    • Kliknij Zapisz.
  3. Utwórz politykę:

    • Wybierz Zarządzanie > Polityki.
    • Kliknij Dodaj politykę.
    • Podaj nazwę dla polityki.
    • Wybierz Moduł AI w polu Typ polityki.
    • Wybierz opcję Prawdopodobieństwo zagrożenia (np. średni) i podaj jego wartość (np. 90%).
    • Wybierz opcję SNMP TRAP w polu Zachowanie polityki.
    • Kliknij Zapisz.
  1. Przypisz politykę do sejfu, który jest używany do nawiązywania połączeń z serwerami.

    • Wybierz Zarządzanie > Sejfy.
    • Edytuj wybrany sejf, klikając jego nazwę.
    • Przejdź do zakładki Polityki i wybierz politykę utworzoną w poprzednim kroku.
    • Kliknij Zapisz.
    ../../_images/5-5-policy-safe-add.png

Przykład 2. Przerwanie podejrzanych sesji, kiedy próg prawdopodobieństwa zagrożenia zostanie przekroczony.


by skonfigurować politykę, przerywającą podejrzane sesje, kiedy próg Prawdopodobieństwa zagrożenia zostanie przekroczony, postępuj zgodnie z instrukcją:

  1. Utwórz politykę:

    • Wybierz Zarządzanie > Polityki.
    • Kliknij Dodaj politykę.
    • Podaj nazwę dla polityki.
    • Wybierz Moduł AI w polu Typ polityki.
    • Wybierz opcję Prawdopodobieństwo zagrożenia (np. średni) i podaj jego wartość (np. 90%).
    • Wybierz opcję Zakończ sesję w polu Akcje.
    • Kliknij Zapisz.

Informacja

Dla drastycznych akcji, takich jak wstrzymanie lub zakończenie sesji czy zablokowanie użytkownika, zaleca się stosowanie maksymalnych progów, aby zminimalizować konsekwencje fałszywie dodatnich wyników.

  1. Przypisz politykę do sejfu, który jest używany do nawiązywania połączeń z serwerami.

    • Wybierz Zarządzanie > Sejfy.
    • Edytuj wybrany sejf, klikając jego nazwę.
    • Przejdź do zakładki Polityki i wybierz politykę utworzoną w poprzednim kroku.
    • Kliknij Zapisz.
    ../../_images/5-5-policy-safe-add.png

Tematy pokrewne: