Симптомы

Сработала сигнатура X, является ли срабатывание ложным?

Решение

Мы постоянно актуализируем Сигнатуры СОВ (IDPS) для уменьшения вероятности ложных срабатываний, поэтому, если вы уверены в ложности сработки (например, массовые ложные срабатывания на обновление Windows), для начала необходимо обновить базу до последней версии и проверить, воспроизводятся ли ложные сработки:

1. Раздел "Настройки" -> вкладка "Настройки" -> пункт "Расписание скачивания обновлений" -> Проверка обновлений.
2. В открывшемся окне: вкладка "Обновление библиотек" -> Проверить обновления.
3. Будет произведён поиск новых версий библиотек. Вас интересует библиотека "IPS:Сигнатуры СОВ". Если будет найдена её новая версия, её номер отобразится в столбце "Доступная версия". Выберите данную библиотеку при помощи лкм, далее нажмите "Скачать" -> статус её обновления можете отслеживать в этом же окне.

Обращаем ваше внимание, что необходимо выполнять проверку срабатывания через некоторое время (10-15 минут) после скачивания новой версии базы, так как перед установкой выполняется ее проверка и в этот временной интервал используется старая версия. Чтобы проверить ложность срабатывания сигнатуры и исправить её, если срабатывание всё-таки было ложным, нужно выполнить запись трафика при срабатывании.

1. Перейдите в меню "Настройки" -> вкладка "Настройки"
2. На данной вкладке выберите опцию "Захват пакетов".
3. В открывшемся окне: "Захват пакетов" - "Предшествующие и последующие". Количество предшествующих и последующих пакетов - по умолчанию (14 и 7 соответственно).
4. Вызовите срабатывание интересующей сигнатуры.
5. В журнале СОВ появится новое поле - "Файлы pcap". В этом поле хранится необходимый дамп: нажмите на иконку файла -> "Скачать все файлы". Пришлите дамп нам.

Также уточните версию базы сигнатур: "Дашборд" -> окно "Обновления" -> "IPS: сигнатуры СОВ".
Если вы обладаете информацией о возможном источнике трафика, вызывающего сработку (ПО, которое генерирует трафик), сообщите это в рамках заявки - это поможет нашим специалистам при анализе срабатывания. Создайте заявку с названием сигнатуры СОВ и приложите собранную информацию (дамп трафика, номер версии базы сигнатур, версию ПО) для анализа. По готовности мы сообщим вам вердикт отдела мониторинга по вашей сработке и версию базы сигнатур, в которую войдет правка по ней, если срабатывание ложное.

Иногда требуется записать расшифрованный трафик для анализа, так как отделу MRC не всегда возможно увидеть вредоносные паттерны.
Это возможно реализовать с помощью функции "Расшифровать и переслать", отправив трафик на вашу принимающую систему, и уже забрать дамп с неё:
https://docs.usergate.com/profili-peresylki-ssl_1117.html

https://docs.usergate.com/zerkalirovanie-deshifrovannogo-ssl-trafika-(decryption-mirroring)_80.html

Если у вас нет систем получателей для анализа трафика, необходимо настроить временный GRE туннель между NGFW и любым устройством, которое поддерживает установку GRE-соединения. Затем сделать пересылку декриптованного трафика к этому устройству помощью функции "Расшифровать и переслать", указав в профиле тип пересылки "L3 туннель", и следом уже записать трафик (без фильтров) непосредственно с интерфейса GRE туннеля с помощью утилиты в разделе "Диагностика и мониторинг - Захват пакетов".