краткий пересказ видео от нейросети

Настройка сигнатур и блокировок в СОВ Dallas Lock 8 / система обнаружения вторжений Dallas Lock

00:00:11

Введение и настройка системы обнаружения вторжений

Обзор системы обнаружения вторжений в Windows Server 2016.

Сравнение централизованного и локального управления.

Демонстрация работы системы на примере сканирования портов.

00:00:37

Централизованное и локальное управление

Централизованное управление через сервер безопасности.

Локальное управление на уровне домена и компьютера.

Различия в настройках и функционале между централизованным и локальным управлением.

00:02:18

Отключение системы обнаружения вторжений

Возможность отключения системы обнаружения вторжений через межсетевой экран.

Локальное отключение системы через параметры компьютера.

Централизованное отключение недоступно.

00:03:26

Управление на уровне групп

Настройки группы действуют только на компьютеры в группе.

Возможность отключения системы на уровне группы.

Локальное управление более полно.

00:05:28

Эксперимент с сканированием портов

Отключение сетевого экрана для чистоты эксперимента.

Запуск сканирования портов и блокировка клиента.

Визуализация работы системы обнаружения вторжений.

00:08:01

Основные функции системы обнаружения вторжений

Система обнаружения и предотвращения вторжений.

Функции сетевой и хостовой системы обнаружения вторжений.

Защита от внутренних и внешних угроз.

00:11:40

Настройка сигнатур

Настройка сигнатур журналов и трафика.

Возможность изменения и активации сигнатур.

Пример создания новой сигнатуры трафика.

00:13:50

Блокировка трафика с порносайта

В разделе информации можно ознакомиться с параметрами сигнатуры.

Для блокировки трафика с порносайта выбираем действие "разорвать соединение".

Указываем порт назначения 80 и группу "подозрительный трафик".

В содержимом указываем слово "порно" или "порно ру".

Для срабатывания правила должны сработать все сигнатуры.

00:15:48

Настройка переменных

Переменные позволяют задать сетевые адреса и порты.

При изменении значений переменных, сигнатуры также обновляются.

Переменные бывают двух типов: диапазоны адресов и диапазоны портов.

Указываем диапазоны адресов для внутренней и внешней сети.

00:21:25

Блокировка адресов

Блокировка адресов происходит автоматически или вручную.

Можно добавлять адреса в список заблокированных или доверенных.

Доверенные адреса позволяют пропускать трафик, но отмечают атаки в журнале.

Время блокировки можно настроить по умолчанию на 15 минут.

Пожаловаться на пересказ