Конструктор правил

Раздел «Конструктор правил» предназначен для настройки правил ModSecurity. Правила ModSecurity – актуальный набор правил кибербезопасности.

Включение защиты по правилам ModSecurity реализовано в разделах «Структура» – «Кластеры» (Настройка режима работы кластера), «Серверы» (Подключение серверу защиты ModSecurity), «Пути» (Структура. Пути).

Допускается конструировать наборы правил для всего кластера в целом, а также конструировать свои наборы правил для входящих в кластер серверов. Сначала устанавливается базовый набор правил Core-Rules-Set, затем можно создать собственные наборы правил.

Установка базового набора правил

Для нового кластера по умолчанию наборы правил не установлены.

Сначала Администратор устанавливает базовый набор правил Core-Rules-Set с помощью пиктограммы lk_base_rule. Базовый набор правил устанавливается для кластера в целом. В верхней части окна задается Кластер, в соседнем поле выбираем «Правила кластера».

../_images/user_guide_473rk.png

Создание нового набора правил

Новый набор правил ModSecurity устанавливается Администратором по кнопке Создать в разделе «Конструктор правил» (рисунок выше).

В верхней части окна задается кластер, для которого создается набор правил ModSecurity. Допускается создавать набор правил для всего кластера в целом, а также создавать свои наборы правил для входящих в кластер серверов. Рядом с полем Кластер расположено поле выбора сервера. Чтобы задать набор правил ModSecurity для всего кластера – выберите «Правила кластера», как показано на рисунке выше.

Открывается окно создания нового набора правил.

../_images/user_guide_470rk.png

Поле Имя набора заполняется английскими буквами, цифрами, дефисом или нижним подчеркиванием, от 5 до 60 символов.

Создается пустой набор правил. Затем Оператор может добавлять правила в набор.

Настройка доступа к наборам правил

По умолчанию Оператору доступен просмотр только базовых наборов правил. Чтобы был доступен просмотр остальных наборов правил, необходимо предоставить Оператору доступ к кластеру, что осуществляет Администратор в разделе «Структура» – «Кластеры» (подробнее Настройка пользователей кластера).

../_images/user_guide_469rk.png

Просмотр набора правил доступен по пиктограмме lk_eye в списке наборов правил раздела.

Добавление правила в набор

Добавление нового правила ModSecurity доступно в списке правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»). Добавить правило в набор можно с помощью пиктограммы lk_app, открывается окно «Новое правило». Предлагается выбрать один из шаблонов.

../_images/user_guide_484rk.png

После выбора шаблона выдается окно ввода дополнительных параметров. Например, при выборе шаблона «Блокировка всех запросов с определенного IP-адреса» выдается окно ввода IP-адреса.

Затем открывается окно «Новое правило» с кодом правила ModSecurity, согласно выбранному шаблону и заданным параметрам.

../_images/user_guide_486rk.png

Правило добавляется в конец списка.

Примечание

Нежелательно добавлять правило, которое есть в данном или соседнем наборе для заданных кластера и сервера.

Импорт правил в набор

Импорт правил в набор осуществляется с помощью пиктограммы lk_imp в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Открывается окно импорта правил, показанное на рисунке ниже. Сначала настраиваются опции, затем файл c правилами в json-формате перетаскивается в окно и загружается. Файл может содержать несколько правил.

../_images/user_guide_487rk.png

Опция Создать в пассивном режиме позволяет не блокировать запросы, отвечающие импортируемым правилам. При включенной опции правила добавятся с пиктограммой lk_ml_green (Обучение, В пассивном режиме). При отключенной опции правила импортируются с пиктограммой lk_ml_red (Блокировка). Переключение между режимами осуществляется в списке правил (подробнее Работа с правилом из набора).

Опция Быстрая загрузка ускоряет операцию за счет способа загрузки правил.

Примечание

Нежелательно импортировать правила, которые уже есть в этом или в другом наборе для заданных кластера и сервера.

Экспорт правил

Экспорт правил осуществляется с помощью пиктограммы lk_exp в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Файл в json-формате сохраняется в папку загрузок.

Перемещение набора правил

Перемещение набора правил в списке наборов доступно по пиктограмме lk_cut в списке наборов правил раздела «Конструктор правил» для заданных кластера и сервера (или «правил кластера»).

Перемещение выполняется за две операции:

  • сначала нажимаем пиктограмму lk_cut (в этом столбце lk_cut заменятся на lk_cross и lk_put, как показано на рисунке ниже);

  • затем нажимаем на пиктограмму lk_put того набора, куда хотим переместить исходный набор. Для отмены перемещения нажимаем lk_cross.

Например, как показано на рисунке ниже, перемещается набор правил NEWSETRULE. Чтобы вставить набор правил перед базовым набором Core-Rules-Set, нажмите на пиктограмму lk_put набора Core-Rules-Set. Чтобы вставить набор правил после BASERULES, нажмите на пиктограмму lk_put набора BASERULES.

../_images/user_guide_488rk.png

Примечание

Если поднимаете набор в списке, то он вставляется перед указанным набором. Если опускаете набор в списке, то он вставляется после указанного набора.

Перемещение набора правил применяется для задания порядка выполнения правил.

Примечание

Защита будет применять наборы правил в том порядке, в котором наборы правил расположены с списке раздела «Конструктор правил».

Работа с правилом из набора

Отдельное правило из набора можно редактировать, изменить режим работы, переместить, удалить с помощью пиктограмм, показанных на рисунке ниже.

../_images/user_guide_469rk.png

Пиктограмма lk_red_clock показывает историю событий правила.

lk_ml_red (Блокировка) – блокируются запросы, для которых срабатывает данное правило. При этом должна быть настроена защита c применением правил ModSecurity, включен режим работы кластера «Блокировка» и режим работы сервера «Активный» (подробнее Структура. Кластеры, Структура. Серверы).

lk_ml_green (Обучение, В пассивном режиме) – запросы фиксируются, но не блокируются. Данный режим полезен в ходе подбора корректного правила.

Информацию о запросах, для которых срабатывает правило ModSecurity, можно найти в разделах «Таблица атак», «Дашборд», «Отчеты».

Пиктограммы lk_ml_red (Блокировка) или lk_ml_green (Обучение, В пассивном режиме) позволяют переключать правило из блокировки в обучение и обратно.

Пиктограмма lk_rk_pen открывает окно редактирования правила.

../_images/user_guide_479rk.png

Перемещение правила выше или ниже в списке выполняется за две операции. Чтобы переместить правило, сначала нажмите пиктограмму lk_cut – в этом столбце lk_cut заменятся на lk_cross и lk_put, как показано на рисунке. Затем нажмите на пиктограмму lk_put того правила, куда хотите переместить исходное правило. Для отмены перемещения нажмите lk_cross.

Например, как показано на рисунке ниже, перемещается правило 6600002. Чтобы вставить правило перед 6600001, нажмите на пиктограмму lk_put правила 6600001. Чтобы вставить правило после 6600003, нажмите на пиктограмму lk_put правила 6600003.

../_images/user_guide_480rk.png

Примечание

Если поднимаете правило в списке, то оно вставляется перед указанным правилом. Если опускаете правило в списке, то оно вставляется после указанного правила.

Перемещение правил применяется для задания порядка выполнения правил.

Примечание

Защита будет применять правила в том порядке, в котором правила размещены в наборе.

Удалить правило можно с помощью пиктограммы lk_rk_del.

Удаление набора правил

Удаление набора правил выполняется с помощью пиктограммы lk_rk_del в списке правил раздела «Конструктор правил».

../_images/Weblock_Logos_small.png