Aide en ligne ESET

Sélectionnez le sujet

Règles IDS

Dans certaines situations, l'Intrusion Detection Service (service de détection d'intrusion) (IDS) peut détecter la communication entre les routeurs ou d'autres périphériques réseau internes comme une attaque potentielle. Par exemple, vous pouvez ajouter une adresse connue, sans danger, aux adresses exclues de la zone IDS pour contourner l'IDS.


note

Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :

Gestion des règles IDS

  • Ajouter - Cliquez pour créer une nouvelle règle IDS.
  • Modifier - Cliquez pour modifier une règle IDS existante.
  • Supprimer - Sélectionnez et cliquez si vous voulez supprimer une règle IDS de la liste des règles IDS.
  • UP_DOWN Au dessus/Vers le haut/Vers le bas/En dessous - Permet de définir le niveau de priorité des règles (les exceptions sont évaluées du haut vers le bas).

CONFIG_EPFW_IDS_EXCEPTION

Les exclusions d'onglets seront affichées si un administrateur crée des exclusions IDS dans ESET PROTECT Web Console. Les exclusions IDS peuvent contenir uniquement des règles d'autorisation et sont évaluées avant les règles IDS.

Éditeur de règle

Détection – Types de détection.

Nom de la menace : vous pouvez spécifier un nom de menace pour certaines des détections disponibles.

Application – Sélectionnez le chemin du fichier d'une application qui fait partie des exceptions en cliquant sur ... (par exemple C:\Program Files\Firefox\Firefox.exe). Ne saisissez PAS le nom de l'application.

Adresse IP distante - Liste d'adresses, de plages d'adresses ou de sous-réseaux IPv4 ou IPv6 distants. Les adresses multiples doivent être séparées par une virgule.

Profil : vous pouvez choisir un profil de connexion réseau auquel cette règle s’appliquera.

Action

Bloquer - Chaque processus du système a son propre comportement par défaut et sa propre action attribuée (bloquer ou autoriser). Pour écraser le comportement par défaut de ESET Endpoint Antivirus, vous pouvez choisir de la bloquer ou de l'autoriser à partir du menu déroulant.

Notifier – Sélectionnez Oui pour afficher Notifications sur le bureau sur votre ordinateur. Sélectionnez Non si vous ne voulez pas de notifications sur le bureau. Les valeurs disponibles sont Par défaut/Oui/Non.

Journaliser – Sélectionnez Oui pour enregistrer les événements dans les fichiers journaux de ESET Endpoint Antivirus. Sélectionnez Nonsi vous ne voulez pas enregistrer les événements. Les valeurs disponibles sont par défaut/Oui/Non.

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Vous souhaitez afficher une notification et faire une inscription au journal chaque fois que l'événement se produit :

  1. Cliquez sur Ajouter pour ajouter une nouvelle règle IDS.
  2. Sélectionnez une alerte spécifique dans le menu déroulant Détection.
  3. Cliquez sur... et sélectionnez le chemin de fichierde l'application à laquelle vous souhaitez appliquer la notification.
  4. Laissez la valeur par défaut dans le menu déroulant Bloquer. L'action par défaut appliquée par ESET Endpoint Antivirus sera alors héritée.
  5. Mettez les menus déroulants Notifier et Journaliser à Oui.
  6. Cliquez sur OK pour enregistrer cette notification.

example

Vous souhaitez supprimer les notifications récurrentes pour un type de détection que vous ne considérez pas comme une menace :

  1. Cliquez sur Ajouter pour ajouter une nouvelle exception IDS.
  2. Sélectionnez une alerte particulière dans le menu déroulant Détection, par exemple, Session SMB sans extension de sécurité.
  3. Sélectionnez Entrant dans le menu déroulant de direction dans le cas où il s'agit d'une communication entrante.
  4. Mettez le menu déroulant Notifier sur Non.
  5. Mettez le menu déroulant Journaliser sur Oui.
  6. LaissezApplication vide.
  7. Si la communication ne provient pas d'une adresse IP particulière, laissez Adresse IP distante vide.
  8. Cliquez sur OK pour enregistrer cette notification.