Règles IDS

Dans certaines situations, l'Intrusion Detection Service (service de détection d'intrusion) (IDS) peut détecter la communication entre les routeurs ou d'autres périphériques réseau internes comme une attaque potentielle. Par exemple, vous pouvez ajouter une adresse connue, sans danger, aux adresses exclues de la zone IDS pour contourner l'IDS.


note

Les articles suivants de la base de connaissances ESET peuvent n'être disponibles qu'en anglais :

Créer des règles IDS sur les stations de travail clients dans ESET Endpoint Antivirus (8.x)

Créer des règle IDS pour les stations de travail clients dans ESET PROTECT (8.x)

Colonnes

Détection – Types de détection.

Application – Sélectionnez le chemin du fichier d'une application qui fait partie des exceptions en cliquant sur ... (par exemple C:\Program Files\Firefox\Firefox.exe). N'entrez PAS le nom de l'application.

IP distante - Liste d'adresses, de plages d'adresses ou de sous-réseaux IPv4 ou IPv6 distants. Lorsqu'il y a plusieurs adresses, elles doivent être séparées par des virgules.

Bloquer - Chaque processus du système a son propre comportement par défaut et sa propre action attribuée (bloquer ou autoriser). Pour écraser le comportement par défaut de ESET Endpoint Antivirus, vous pouvez choisir de la bloquer ou de l'autoriser à partir du menu déroulant.

Notifier – Sélectionnez Oui pour afficher Notifications sur le bureau sur votre ordinateur. Sélectionnez Non si vous ne voulez pas de notifications sur le bureau. Les valeurs disponibles sont Par défaut/Oui/Non.

Journaliser – Sélectionnez Oui pour enregistrer les événements dans les fichiers journaux de ESET Endpoint Antivirus. Sélectionnez Nonsi vous ne voulez pas enregistrer les événements. Les valeurs disponibles sont par défaut/Oui/Non.

CONFIG_EPFW_IDS_EXCEPTION

Les exclusions d'onglets seront affichées si un administrateur crée des exclusions IDS dans ESET PROTECT Web Console. Les exclusions IDS peuvent contenir uniquement des règles d'autorisation et sont évaluées avant les règles IDS.

Gestion des règles IDS

Ajouter - Cliquez pour créer une nouvelle règle IDS.

Modifier - Cliquez pour modifier une règle IDS existante.

Supprimer - Sélectionnez et cliquez si vous voulez supprimer une exception IDS de la liste des règles IDS.

UP_DOWN Au dessus/Vers le haut/Vers le bas/En dessous - Permet de définir le niveau de priorité des règles (les exceptions sont évaluées du haut vers le bas).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Vous souhaitez afficher une notification et faire une inscription au journal chaque fois que l'événement se produit :

1.Cliquez sur Ajouter pour ajouter une nouvelle règle IDS.

2.Sélectionnez une alerte particulière dans le menu déroulant Détection.

3.Cliquez sur... et sélectionnez le chemin de fichierde l'application à laquelle vous souhaitez appliquer la notification.

4.Laissez la valeur par défaut dans le menu déroulant Bloquer. L'action par défaut appliquée par ESET Endpoint Antivirus sera alors héritée.

5.Mettez les menus déroulants Notifier et Journaliser à Oui.

6.Cliquez sur OK pour enregistrer cette notification.


example

Vous souhaitez supprimer les notifications récurrentes pour un type de détection que vous ne considérez pas comme une menace :

1.Cliquez sur Ajouter pour ajouter une nouvelle exception IDS.

2.Sélectionnez un'alerte particulière dans le menu déroulant Détection, par exemple, Session SMB sans extension de sécurité.

3.Sélectionnez Entrant dans le menu déroulant de direction dans le cas où il s'agit d'une communication entrante.

4.Mettez le menu déroulant Notifier sur Non.

5.Mettez le menu déroulant Journaliser sur Oui.

6.LaissezApplication vide.

7.Si la communication ne provient pas d'une adresse IP particulière, laissez Adresse IP distante vide.

8.Cliquez sur OK pour enregistrer cette notification.