IDS 规则

在某些情况下,入侵检测服务 (IDS) 可能会将路由器或其他内部网络设备之间的通信检测为潜在攻击。例如,可以将已知安全地址添加到“从 IDS 区域中排除的地址”,以绕过 IDS。


note

以下 ESET 知识库文章可能仅提供英文版:

在 ESET Endpoint Antivirus (8.x) 中的客户端工作站上创建 IDS 规则

在 ESET PROTECT (8.x) 中为客户端工作站创建 IDS 规则

检测 - 检测类型。

应用程序 - 通过单击 ...,选择例外应用程序的文件路径(例如 C:\Program Files\Firefox\Firefox.exe)。请勿输入应用程序的名称。

远程 IP - 远程 IPv4 或 IPv6 地址/范围/子网的列表。多个地址必须使用逗号分隔。

阻止 - 每个系统进程都具有自己的默认行为和分配的操作(阻止或允许)。若要覆盖 ESET Endpoint Antivirus 的默认行为,可以使用下拉菜单来选择是阻止还是允许它。

通知 - 选择是可在计算机上显示桌面通知。选择否(如果不希望显示桌面通知)。可用值为默认/是/否。

日志 - 选择以事件记录到ESET Endpoint Antivirus 日志文件。选择(如果不希望记录事件)。可用值为默认//

CONFIG_EPFW_IDS_EXCEPTION

如果管理员在 ESET PROTECT Web 控制台中创建 IDS 排除,将显示选项卡排除。IDS 排除只能包含允许规则,并在 IDS 规则之前进行评估。

管理 IDS 规则

添加 - 单击以创建新的 IDS 规则。

编辑 - 单击以编辑现有 IDS 规则。

删除 - 如果要从 IDS 规则列表中删除现有例外,请选择并单击该选项。

UP_DOWN 最高/向上/向下/最低 - 让您可以调整规则的优先级(按从最高到最低的顺序评估例外)。

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

希望在每次事件发生时显示通知并收集日志:

1.单击添加以添加新的 IDS 规则。

2.检测下拉菜单中选择特定警报。

3.单击 ...并选择要应用通知的应用程序的文件路径。

4.阻止下拉菜单中保留默认。这将继承由 ESET Endpoint Antivirus 应用的默认操作。

5.通知日志下拉菜单都设置为

6.单击确定以保存此通知。


example

您希望删除不视为威胁的某类检测的反复通知:

1.单击添加以添加新的 IDS 例外。

2.检测下拉菜单中选择特定警报,例如无安全扩展的 SMB 会话.

3.从方向下拉菜单中选择(如果它来自入站通信)。

4.通知下拉菜单设置为

5.日志下拉菜单设置为

6.应用程序留空。

7.如果通信不是来自特定 IP 地址,请将远程 IP 地址留空。

8.单击确定以保存此通知。