Конструктор правил

Раздел «Конструктор правил» предназначен для настройки правил ModSecurity. Правила ModSecurity – актуальный набор правил кибербезопасности.

Включение защиты по правилам ModSecurity реализовано в разделе «Кластеры» в настройках сервера ModSec (подробнее ModSec – включение защиты с применением правил ModSecurity).

Допускается конструировать наборы правил для всего кластера в целом, а также конструировать свои наборы правил для входящих в кластер серверов. Сначала устанавливается базовый набор правил Core-Rules-Set, затем можно создать собственные наборы правил.

Установка базового набора правил

Для нового кластера по умолчанию наборы правил не установлены.

Сначала Администратор устанавливает базовый набор правил Core-Rules-Set с помощью пиктограммы lk_base_rule. Базовый набор правил устанавливается для кластера в целом. В верхней части окна задается Кластер, в соседнем поле выбираем «Правила кластера».

../_images/user_guide_169rk.png

Создание нового набора правил

Новый набор правил ModSecurity устанавливается Администратором по кнопке Создать в разделе «Конструктор правил» (скрин выше).

В верхней части окна задается кластер, для которого создается набор правил ModSecurity. Допускается создавать набор правил для всего кластера в целом, а также создавать свои наборы правил для входящих в кластер серверов. Рядом с полем Кластер расположено поле выбора сервера. Чтобы задать набор правил ModSecurity для всего кластера – выберите «Правила кластера», как показано на скрине выше.

Открывается окно создания нового набора правил.

../_images/user_guide_154rk.png

Поле Имя набора заполняется английскими буквами, цифрами, дефисом или нижним подчеркиванием, от 5 до 60 символов.

Создается пустой набор правил. Затем Оператор может добавлять правила в набор.

Настройка доступа к наборам правил

По умолчанию Оператору доступен просмотр только базовых наборов правил. Чтобы был доступен просмотр остальных наборов правил, необходимо предоставить Оператору доступ к кластеру, что осуществляет Администратор в разделе «Кластеры» (подробнее Настройка пользователей кластера).

../_images/user_guide_282rk.png

Просмотр набора правил доступен по пиктограмме lk_eye в списке наборов правил раздела.

Добавление правила в набор

Добавление нового правила ModSecurity доступно в списке правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»). Добавить правило в набор можно с помощью пиктограммы lk_app, открывается окно «Новое правило».

../_images/user_guide_288rk.png

В поле Позиция правила в списке указывается порядок применения правил защитой. Чтобы задать порядковый номер применения правила, следует включить опцию в этом поле. Нумерация применения правил начинается с 0.

Во втором поле задается код правила ModSecurity.

Примечание

Нежелательно добавлять правило, которое есть в данном или соседнем наборе для заданных кластера и сервера.

Импорт правил в набор

Импорт правил в набор осуществляется с помощью пиктограммы lk_imp в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Открывается окно импорта правил, показанное на скрине ниже. Сначала настраиваются опции, затем перетаскивается файл в json-формате. Файл может содержать несколько правил.

../_images/user_guide_160rk.png

Опция Создать в пассивном режиме позволяет не блокировать запросы, отвечающие импортируемым правилам. При включенной опции правила добавятся с пиктограммой lk_ml_green (Обучение, В пассивном режиме). При отключенной опции правила импортируются с пиктограммой lk_ml_red (Блокировка). Переключение между режимами осуществляется в списке правил (подробнее Работа с правилом из набора).

Опция Быстрая загрузка ускоряет операцию. При отключенной опции проверяется каждое правило, а при включенной быстрой загрузке проверяется пачка правил целиком.

Примечание

Нежелательно импортировать пачку правил, если одно из правил есть в этом или в другом наборе для заданных кластера и сервера.

Экспорт правил

Экспорт правил осуществляется с помощью пиктограммы lk_exp в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Файл в json-формате сохраняется в папку загрузок.

Перемещение набора правил

Перемещение набора правил в списке наборов доступно по пиктограмме lk_cut в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Перемещение выполняется за две операции:

  • сначала нажимаем пиктограмму lk_cut (в этом столбце lk_cut заменятся на lk_cross и lk_put, как показано на скрине ниже);

  • затем нажимаем на пиктограмму lk_put того набора, куда хотим переместить исходный набор. Для отмены перемещения нажимаем lk_cross.

Например, как показано на скрине ниже, перемещается набор правил TESTING. Чтобы вставить набор правил перед базовым набором Core-Rules-Set, нажмите на пиктограмму lk_put набора Core-Rules-Set. Чтобы вставить набор правил после TESTSET, нажмите на пиктограмму lk_put набора TESTSET.

../_images/user_guide_289rk.png

Примечание

Если поднимаете набор в списке, то он вставляется перед указанным набором. Если опускаете набор в списке, то он вставляется после указанного набора.

Перемещение набора правил применяется для задания порядка выполнения правил.

Примечание

Защита будет применять наборы правил в том порядке, в котором наборы правил расположены с списке раздела «Конструктор правил».

Работа с правилом из набора

Отдельное правило из набора можно редактировать, изменить режим работы, переместить, удалить с помощью пиктограмм, показанных на скрине ниже.

../_images/user_guide_282rk.png

Пиктограмма lk_red_clock показывает историю событий правила.

lk_ml_red (Блокировка) – блокируются запросы, для которых срабатывает данное правило. При этом должна быть настроена защита «ModSec», включен режим работы кластера «Блокировка» и режим работы сервера «Активный» (подробнее Кластеры).

lk_ml_green (Обучение, В пассивном режиме) – запросы фиксируются, но не блокируются. Данный режим полезен в ходе подбора корректного правила.

Информацию о запросах, для которых срабатывает правило ModSecurity, можно найти в разделах «Таблица атак», «Графики атак», «Отчеты».

Пиктограммы lk_ml_red (Блокировка) или lk_ml_green (Обучение, В пассивном режиме) позволяют переключать правило из блокировки в обучение и обратно.

Пиктограмма lk_pen открывает окно редактирования правила.

../_images/user_guide_168rk.png

Перемещение правила выше или ниже в списке выполняется за две операции. Чтобы переместить правило, сначала нажмите пиктограмму lk_cut – в этом столбце lk_cut заменятся на lk_cross и lk_put, как показано на скрине. Затем нажмите на пиктограмму lk_put того правила, куда хотите переместить исходное правило. Для отмены перемещения нажмите lk_cross.

Например, как показано на скрине ниже, перемещается правило 2100012. Чтобы вставить правило перед 2100011, нажмите на пиктограмму lk_put правила 2100011. Чтобы вставить правило после 2100014, нажмите на пиктограмму lk_put правила 2100014.

../_images/user_guide_285rk.png

Примечание

Если поднимаете правило в списке, то оно вставляется перед указанным правилом. Если опускаете правило в списке, то оно вставляется после указанного правила.

Перемещение правил применяется для задания порядка выполнения правил.

Примечание

Защита будет применять правила в том порядке, в котором правила размещены в наборе.

Удалить правило можно с помощью пиктограммы lk_del.

Удаление набора правил

Удаление набора правил выполняется с помощью пиктограммы lk_del в списке правил раздела «Конструктор правил».

../_images/Weblock_Logos_small.png