8.6. Сценарии

UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). UserGate реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события, произошедшие за некое продолжительное время. Примером работы сценариев могут являться решение следующих задач:

  • Заблокировать или ограничить пропускную способность на 30 минут пользователя, у которого за последние 10 минут было обнаружено 5 попыток использования приложения torrent.

  • Заблокировать или ограничить пропускную способность пользователя или группы пользователей, указанной в правиле, при срабатывании одного из следующих триггеров - открытие пользователем сайтов, относящихся к группе категорий Threats, срабатывание СОВ сигнатур высокого риска для трафика данного пользователя, блокировка вируса в трафике данного пользователя.

  • Заблокировать или ограничить пропускную способность пользователя, если он выбрал лимит трафика в 10 Гб за месяц.

Примечание

Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Для начала работы со сценариями необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать необходимые сценарии

В разделе Политики безопасности --> Сценарии создать необходимые сценарии.

Шаг 2. Указать созданные сценарии в правилах межсетевого экрана или в правилах пропускной способности

Добавить созданный сценарий в правила межсетевого экрана или в правила пропускной способности. Более подробно о работе с правилами межсетевого экрана или пропускной способности смотрите раздел Политики сети.

При создании сценария необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает сценарий.

Название

Название сценария.

Описание

Описание сценария.

Применить для

Возможны варианты:

  • Одного пользователя - при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.

  • Всех пользователей - при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.

Продолжительность

Время в минутах, в течении которого сценарий будет активным после его активации. Столько же будет работать правило межсетевого экрана или пропускной способности, в котором используется данный сценарий.

Условия

Задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать, сработают ли сценарий при совпадении одного или всех условий.

Условия срабатывания

Возможны следующие условия для использования в сценарии:

  • Категория URL - совпадения указанных категорий UserGate URLF в трафике пользователя.

  • Обнаружен вирус.

  • Приложение - обнаружено указанное приложение в трафике пользователя.

  • СОВ - сработка системы обнаружения вторжений.

  • Типы контента - обнаружены указанные типы контента в трафике пользователя.

  • Размер пакета - размер пакета в трафике пользователя превысил указанное значение.

  • Сессий с одного IP - количество сессий с одного IP-адреса превысило указанное значение.

  • Объем трафика - объем трафика пользователя превысил определенный лимит за указанную единицу времени.