TI для FQDN: настройка параметров политики

На вкладке Политики в левой части окна выберите политику TI для FQDN.

В правой части окна откроется информация о политике TI для FQDN.

Настройки политики могут быть общими или частными.

Общие настройки

Общие настройки политики применяются ко всем источникам индикаторов компрометации (IoC). По умолчанию все источники IoC активны.

  1. На вкладке Общие настройки нажмите ИЗМЕНИТЬ.
    Параметры политики TI для FQDN станут доступны для изменения.

  2. в блоке Политика выберите:

    1. Статус политики:

      • Включена, если вы хотите использовать политику.

      • Отключена, если вы хотите отключить политику.

    2. Действие, которое политика будет выполнять над DNS-запросами к вредоносным доменам:

      • Блокировать, если вы хотите блокировать DNS-запросы к вредоносным доменам.

      • Разрешать, если вы хотите разрешить DNS-запросы к вредоносным доменам.

      • Перенаправлять, если вы хотите перенаправлять DNS-запросы к вредоносным доменам на заданные вами адреса.

  3. Если вы выбрали вариант Блокировать или Перенаправлять, в блоке Достоверность в поле Порог достоверности IoC укажите значение от 1 до 100. Чем выше это значение, тем выше степень достоверности. При превышении этого порога к DNS-запросу будет применено действие политики.

    Значение по умолчанию: 75.

  4. Если вы выбрали вариант Перенаправлять, в блоке Перенаправление введите следующие значения:

    1. В поле На IPv4-адрес укажите IPv4-адрес, который будет возвращен в ответ на DNS-запросы А-типа.

    2. В поле На IPv6-адрес укажите IPv6-адрес, который будет возвращен в ответ на DNS-запросы АAAA-типа.

  5. Нажмите СОХРАНИТЬ.

Частные настройки

Если в общих настройках политики выбран статус Отключена, то частные настройки не применяются.

Частные настройки позволяют задать исключения для отдельных источников IoC и имеют приоритет над общими.

Например, вы можете отключить определенный источник, если он дает много ложных срабатываний, выбрать для него другое действие политики (например, Разрешать, даже если для остальных источников выбрано Блокировать) или изменить его порог достоверности для более точной фильтрации.

Чтобы добавить частные настройки для источника IoC:

  1. Откройте вкладку Частные настройки и нажмите ДОБАВИТЬ.

  2. В выпадающем списке выберите источник IoC, для которого хотите задать отдельные параметры.

  3. Если вы не хотите использовать этот источник IoC при проверке DNS-трафика, снимите флажок Источник IoC активен.

    По умолчанию все источники IoC активны.

  4. Выберите действие политики для данного источника.

  5. Если вы выбрали действие Блокировать или Перенаправлять, в поле Порог достоверности IoC укажите значение от 1 до 100. Этот порог будет применяться только к данному источнику IoC.

    При выборе действия Перенаправлять для перенаправления используются IP-адреса, заданные в общих настройках политики.

  6. Нажмите Добавить.

Источник IoC появится в списке источников с частными настройками. К нему будут применяться заданные вами частные настройки, которые переопределяют общие настройки политики.

Изменение и удаление частных настроек

Чтобы изменить частные настройки для источника IoC, в правом углу напротив названия источника нажмите .

Чтобы удалить частные настройки для источника IoC, в правом углу напротив названия источника нажмите .

После удаления частных настроек для источника IoC, источник IoC будет активен и к нему применятся общие настройки политики.