Reguły IDS

W niektórych sytuacjach usługa Intrusion Detection Service (IDS) może potraktować komunikację między routerami lub innymi wewnętrznymi urządzeniami sieciowymi jako potencjalny atak. Bezpieczny adres można dodać do listy adresów wykluczonych ze strefy IDS, co pozwoli pominąć usługę IDS.


note

Następujące artykuły z bazy wiedzy ESET mogą być dostępne tylko w języku angielskim:

Tworzenie reguł IDS na klienckich stacjach roboczych w rozwiązaniu ESET Endpoint Antivirus (8.x)

Tworzenie reguł IDS dla klienckich stacji roboczych w rozwiązaniu ESET PROTECT (8.x)

Kolumny

Wykrywanie — typ wykrywania.

Aplikacja — należy wybrać ścieżkę do pliku aplikacji objętej wyjątkiem, klikając pozycję ... (np. C:\Program Files\Firefox\Firefox.exe). NIE należy wprowadzać nazwy aplikacji.

Zdalny adres IP — lista zdalnych adresów/zakresów/podsieci IPv4 lub IPv6. Adresy muszą być oddzielone przecinkami.

Blokuj — każdemu procesowi systemu odpowiada domyślne działanie oraz przypisana czynność (blokuj lub zezwalaj). Aby zmienić domyślne działanie programu ESET Endpoint Antivirus, można wybrać z menu rozwijanego blokowanie lub zezwalanie.

Powiadom — wybór opcji Tak spowoduje wyświetlanie powiadomień na pulpicie na komputerze. Wybór opcji Nie spowoduje, że powiadomienia na pulpicie nie będą wyświetlane. Dostępne wartości: Domyślne/Tak/Nie.

Dziennik — wybór opcji Tak spowoduje zapisywanie zdarzeń w plikach dziennika ESET Endpoint Antivirus. Wybór opcji Nie spowoduje, że zdarzenia nie będą zapisywane w dzienniku. Dostępne wartości: Domyślne/Tak/Nie.

CONFIG_EPFW_IDS_EXCEPTION

Wyłączenia kart będą wyświetlane, jeśli administrator utworzy wyłączenia IDS w konsoli internetowej ESET PROTECT. Wyłączenia IDS mogą zawierać tylko reguły zezwalające i są oceniane przed regułami IDS.

Zarządzanie regułami IDS

Dodaj — kliknij, aby utworzyć nową regułę IDS.

Edytuj — kliknij, aby edytować regułę IDS.

Usuń — tę opcję należy zaznaczyć i kliknąć w celu usunięcia wyjątku z listy reguł IDS.

UP_DOWN Na początek/W górę/W dół/Na koniec — możliwość dostosowania priorytetów znanych reguł (wyjątki są klasyfikowane kolejno od góry do dołu).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Chcesz, aby po każdym wystąpieniu zdarzenia następowało wyświetlenie powiadomienia i utworzenie wpisu w dzienniku:

1.Kliknij opcję Dodaj, aby dodać nową regułę IDS.

2.Z menu rozwijanego Wykrywanie wybierz konkretny alert.

3.Kliknij pozycję ... i wybierz ścieżkę do pliku aplikacji, której ma dotyczyć powiadomienie.

4.Pozostaw wartość Domyślne w menu rozwijanym Blokuj. Spowoduje to zastosowanie domyślnego działania programu ESET Endpoint Antivirus.

5.W menu rozwijanych Powiadom i Dziennik ustaw wartości Tak.

6.Kliknij przycisk OK, aby zapisać powiadomienie.


example

Chcesz usunąć cykliczne powiadomienia dla typu wykrycia, którego nie uznajesz za zagrożenie:

1.Kliknij opcję Dodaj, aby dodać nowy wyjątek IDS.

2.Z menu rozwijanego Wykrywanie wybierz konkretny alert, na przykład Sesja SMB bez rozszerzeń zabezpieczeń.

3.Wybierz opcję Przychodzące z menu rozwijanego kierunku, jeśli dotyczy to komunikacji przychodzącej.

4.W menu rozwijanym Powiadom wybierz opcję Nie.

5.W menu rozwijanym Dziennik wybierz opcję Tak.

6.Pozostaw pole Aplikacja puste.

7.Jeśli komunikacja nie pochodzi z konkretnego adresu IP, pozostaw pole Zdalny adres IP puste.

8.Kliknij przycisk OK, aby zapisać powiadomienie.