Правила мониторинга Runtime Application Protection

Содержание этой страницы

• Как определить правила обработки атак — блокировать, отслеживать или игнорировать
• Как создать правила исключений (список разрешений) для атак, которые вы считаете безопасными
• Часто задаваемые вопросы

Правила Dynatrace Runtime Application Protection позволяют:

• Настроить детализированные правила мониторинга для блокировки, отслеживания или игнорирования будущих атак, основанные на атрибутах ресурсов, и определить несколько условий для одного правила. При создании правила можно проверить, применяются ли условия, и сколько групп процессов затронуто. Созданные правила переопределяют глобальные настройки контроля атак для выбранной технологии.
• Добавить атаки, которые вы не считаете опасными, в список разрешений — по исходным IP-адресам или паттернам атак.

Определение конкретных правил контроля атак

Чтобы создать правило атаки:

1. Перейдите в Settings > Analyze and alert > Application security > Application protection (New).
2. На вкладке Monitoring rules выберите Add new rule.

3. Определите правило:

4. Rule name: имя, под которым будет отображаться ваше правило.

5. Attack control: укажите способ контроля атаки, соответствующей критериям правила:

   • Off; incoming attacks NOT detected or blocked.
   • Monitor; incoming attacks detected only.
   • Block; incoming attacks detected and blocked.
   • Attack type: выберите тип атаки, к которому применяется текущая конфигурация.
   • Необязательно Specify where the rule is applied: если вы хотите, чтобы правило применялось только к части вашей среды, выберите Add condition и укажите атрибуты ресурсов, которые следует использовать для идентификации этой части среды (например, dt.entity.process_group, aws.region). Подробнее см. в разделе Обогащение принятых данных полями Dynatrace.
   • Выберите Create.
   • Перезапустите процессы.

Правила можно редактировать, отключать, включать или удалять в любое время.

Определение правил исключений (список разрешений)

На основе конкретных критериев можно создать правило мониторинга исключений для атаки.

1. Перейдите в Settings > Analyze and alert > Application security > Application protection (New).
2. На вкладке Allowlist rules выберите Add new rule.

3. Определите правило исключения:

4. Attack control: выберите один из следующих вариантов:

   • Off; incoming attacks NOT detected or blocked — для игнорирования атак на основе последующих критериев
   • Monitor; incoming attacks detected only — для мониторинга атак на основе последующих критериев без их блокировки
   • Define the rule: выберите Add condition для настройки детализированных условий, которым должна соответствовать атака.

   Большинство комбинаций ключ/сопоставитель, доступных в выпадающем списке, требуют OneAgent версии 1.309+.

   Для OneAgent версий ниже 1.309 доступны только следующие варианты:

   • ключ: entry_point.payload, сопоставитель: contains
   • ключ: actor.ip, сопоставитель: is part of IP CIDR

   Чтобы в полной мере воспользоваться этой функциональностью, убедитесь, что вы используете последнюю версию OneAgent. * Необязательно Specify where the rule is applied: если вы хотите, чтобы правило применялось только к части вашей среды, выберите Add condition и укажите атрибуты ресурсов, которые следует использовать для идентификации этой части среды (например, dt.entity.process_group, aws.region). Подробнее см. в разделе Обогащение принятых данных полями Dynatrace. 4. Выберите Create.

Правила можно редактировать, отключать, включать или удалять в любое время.

Часто задаваемые вопросы

• Как Dynatrace фактически блокирует атаки?
• Как определяется IP-адрес злоумышленника?

Связанные темы

• Часто задаваемые вопросы по Application Security