PT NAD позволяет объединять узлы или порты в группы по какому-либо признаку. Группы используются:
- для настройки правил для обнаружения атак и для обнаружения активностей;
- настройки других групп;
- сбора информации об узлах, участвующих в сессиях;
- фильтрации сессий.
Группы могут быть трех типов:
- Системные группы. Предусмотрены в продукте по умолчанию.
- Пользовательские группы. Создаются пользователями.
- Группы правил. Создаются автоматически, когда правила загружаются в продукт.
Информация о группах узлов и группах портов отображается в рабочей области страницы Правила для атак и группы, доступной из меню администрирования (кнопка в главном меню).
Информация о группах узлов и о группах портов находится на разных вкладках. Для обеих вкладок действует общий поиск. Вы можете искать группы по названиям, узлам, портам и комментариям, используя поле поиска. Кроме того, вы можете выполнить поиск только по группам с ошибками или по группам с изменениями, нажав на ссылку слева от количества нужных групп.
Вы можете создавать пользовательские группы узлов и группы портов. Кроме того, вы можете изменять состав групп узлов и групп портов, а также удалять группы. При удалении группы PT NAD проверяет, используется ли она в правилах или других группах. До синхронизации вы можете восстановить помеченную к удалению группу узлов или портов.
Для удобства администрирования групп вы можете к каждой из них добавлять описания в столбце Комментарий.
Любые изменения групп узлов и групп портов вступают в силу только после синхронизации.
Спецсимвол | Назначение | Пример использования |
|---|---|---|
| Исключение элемента |
|
| Разделение элементов |
|
| Объединение элементов |
|
| Ссылка на другую группу элементов такого же типа (в группе узлов можно ссылаться только на группы узлов, в группе портов — на группы портов) |
|
| Диапазон портов |
|
| Диапазон IP-адресов узлов |
|
| IP-адрес подсети узлов |
|
Изменения, внесенные в группы узлов и портов, не вступают в силу сразу. PT NAD запоминает их, и вы можете применить их все вместе или отклонить. Такое применение называется синхронизацией.
Все изменения отображаются под главным меню на странице Правила для атак и группы. Дата последней успешной синхронизации отображается в нижней части страницы.
Изменения в правилах для обнаружения атак и в группах узлов и портов синхронизируются одновременно. Во время синхронизации PT NAD проверяет корректность изменений. Если ошибок нет, все изменения в правилах для обнаружения атак и в группах узлов и портов вступают в силу. При наличии ошибок в строках правил и групп узлов и портов, в которых обнаружены ошибки, отображается значок . При наличии критически значимых ошибок синхронизация может быть выполнена только после их исправления.