Интернет-справка ESET

Выберите тему

Правила IDS

В некоторых случаях система обнаружения вторжения (Intrusion Detection Service, IDS) может расценить передачу информации между маршрутизаторами или другими внутренними сетевыми устройствами как потенциальную атаку. Например, вы можете добавить известный безопасный адрес в адреса, исключенные из системы обнаружения вторжений, чтобы обойти IDS.


note

Следующие статьи из базы знаний ESET могут быть доступны только на английском языке:

Управление правилами IDS

  • Добавить: нажмите для создания нового правило IDS.
  • Изменить: нажмите для изменения существующего правила IDS.
  • Удалить: выберите и щелкните для удаления правила IDS из списка исключений.
  • UP_DOWN В начало/Вверх/Вниз/В конец: настройка приоритетности правил (исключения обрабатываются сверху вниз).

CONFIG_EPFW_IDS_EXCEPTION

Вкладка «Исключения» отображается в том случае, если администратор создал исключения IDS в веб-консоли ESET PROTECT. Исключения IDS могут содержать только разрешающие правила и оцениваются перед правилами IDS.

Редактор правил

Обнаружение: тип обнаружения.

Имя угрозы: можно указать имя угрозы для некоторых доступных обнаружений.

Приложение: выберите путь к файлу исключенного приложения, щелкнув ... (например, C:\Program Files\Firefox\Firefox.exe). НЕ вводите имя приложения.

Удаленный IP-адрес. Список удаленных адресов, диапазонов или подсетей (IPv4 или IPv6). Несколько адресов следует разделять запятой.

Профиль. Можно выбрать профиль сетевого подключения, к которому применяется это правило.

Действие

Блокировать. Каждый системный процесс имеет свое поведение по умолчанию и назначенное действие (блокировать или разрешить). Для изменения поведения ESET Endpoint Security по умолчанию вы можете разрешить или заблокировать его запуск из раскрывающегося меню.

Уведомить. Выберите Да, чтобы отображать уведомления на рабочем столе на своем компьютере. Выберите Нет, чтобы отключить уведомления. Доступные значения: По умолчанию, Да, Нет.

Записать в журнал. Выберите Да, чтобы записывать события в файлы журнала ESET Endpoint Security. Выберите Нет, чтобы отключить запись. Доступные значения: По умолчанию, Да, Нет.

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Чтобы отображать уведомление и выполнять запись в журнал при каждом возникновении события:

  1. ЩелкнитеДобавить, чтобы добавить новое правило IDS.
  2. Выберите нужное предупреждение в раскрывающемся меню Обнаружение.
  3. Щелкните ... и выберите путь к файлу приложения, к которому будет применено уведомление.
  4. Оставьте значение По умолчанию в раскрывающемся менюБлокировать. Это позволит унаследовать действие по умолчанию, примененное ESET Endpoint Security.
  5. Выберите в раскрывающихся меню Уведомить иЗаписать в журнал значения Да.
  6. Щелкните ОК, чтобы сохранить это уведомление.

example

Чтобы удалить повторяющиеся уведомления о типе обнаружения, который вы не рассматриваете как угрозу:

  1. ЩелкнитеДобавить, чтобы добавить новое исключение IDS.
  2. Выберите нужное оповещение в раскрывающемся меню Обнаружение, например Сеанс SMB без расширений безопасности или Атака сканирования портов TCP.
  3. Выберите В в раскрывающемся меню с направлениями для входящего подключения.
  4. Выберите для раскрывающегося меню Уведомить значение Нет.
  5. Выберите для раскрывающегося меню Записать в журнал значение Да.
  6. Оставьте значение Приложение пустым.
  7. Если входящий трафик поступает не с определенного IP-адреса, оставьте значение Удаленные IP-адреса пустым.
  8. Щелкните ОК, чтобы сохранить это уведомление.