Режим предупреждения
Принцип работы режима предупреждения:
Система переводится в режим Предупреждать для всех фильтрующих механизмов, что обеспечивает запись событий в Журнал событий без блокировки
Режим предупреждения (мониторинга) позволяет безопасно анализировать сетевую активность без вмешательства в рабочие процессы. В этом режиме:
- Блокировка отключена — все DNS-запросы беспрепятственно проходят
- Полное журналирование — система записывает всю активность для анализа
- Идеален для:
- Первоначального развертывания и тестирования
- Проведения аудита безопасности
- Сбора данных для точной настройки политик фильтрации
Шаг 1. Настройка глобальных правил фильтрации
На этом шаге настраивается основное поведение системы для черных списков, категорий, безопасного поиска, ретропоиска и режима Zero Trust
Для настройки режима предупреждения для категорий:
- Перейдите в раздел Компания 1
- Раскройте список 3 на вкладке Правила
- Укажите вариант Предупреждать 3
Для настройки режима предупреждения для черного списка:
- Перейдите в раздел Компания 1
- Раскройте список 2 на вкладке Черный список
- Укажите вариант Предупреждать 3
Для настройки Безопасного поиска:
- Перейдите в раздел Компания 1
- В правом верхнем углу нажмите кнопку меню "..." 2
- В выпадающем списке выберите Редактировать 3
- Перейдите к блоку Дополнительные настройки
- Переведите в неактивное состояние переключатель Безопасный поиск:
- Нажмите кнопку Сохранить для применения глобальных настроек
Для настройки Ретропоиска:
- Перейдите в раздел Компания 1
- Перейдите на вкладку Правила 2
- На вкладке Ретропоиск 3 выключите функцию ретропоиска при помощи переключателя 4
Для настройки ZeroTrust:
- Перейдите в раздел Компания 1
- Перейдите на вкладку Правила 2
- На вкладке Zero Trust 3 выключите функцию Zero Trust при помощи переключателя 4
Шаг 2. Настройка обработки Threat Intelligence Feeds (TI Feeds)
Threat Intelligence Feeds — это внешние источники данных об угрозах (списки вредоносных доменов и IP-адресов). В режиме предупреждения их также нужно перевести в режим предупреждения
- Оставаясь в разделе Компания 1, перейдите на вкладку Правила 2
- Выберите подвкладку TI Feeds 3
- Для каждого фида установите:
- Домен — значение Предупреждать
- IP-адрес — значение Предупреждать
Шаг 3. Настройка обработки Machine Learning (ML) проверок
Система использует машинное обучение для обнаружения подозрительных доменов. Эти проверки также необходимо перевести в режим мониторинга
- На той же вкладке Правила 2 перейдите на подвкладку ML проверки 3
- Для каждого типа ML-проверок в списке 4 установите значение Предупреждать 5
Шаг 4. Проверка работоспособности режима предупреждения
После выполнения всех настроек убедитесь, что режим работает корректно
-
Проверка доступности:
- Откройте браузер и попробуйте перейти на несколько доменов из вашего черного списка или доменов, относящихся к блокируемым категориям (например, социальные сети)
- Ожидаемый результат: Все страницы должны загружаться без блокировки
-
Проверка журналирования:
- Перейдите в раздел Журнал событий
- Найдите в журнале записи о тех доменах, к которым вы обращались
- Ожидаемый результат: Для каждого посещенного домена должна существовать запись в журнале событий с указанием статуса Предупреждение, подтверждающая, что событие было зафиксировано
-
Диагностика проблем:
- Если сайт блокируется: Вернитесь к Шагам 1-3 и убедитесь, что для всех механизмов фильтрации установлен режим Предупреждать, а дополнительные блокировки отключены
- Если событие не попало в Журнал событий: Вернитесь к Шагам 1-3 и убедитесь, что для всех механизмов фильтрации установлен режим Предупреждать, а не Не проверять
- Если проблема не устраняется, обратитесь к технической поддержке (mss-service@rt-solar.ru) или администратору системы
Возврат к стандартному режиму работы
Чтобы снова включить блокировку угроз, выполните обратную настройку:
- В Настройках компании (Шаг 1) установите для Черный список и Категории значение Блокировать
- Включите необходимые Дополнительные настройки
- На вкладках TI Feeds и ML проверки выберите для критичных источников и проверок значение Блокировать
- Сохраните изменения