Інтерактивна довідка ESET

Виберіть тему

Правила IDS

В деяких випадках служба виявлення вторгнень (Intrusion Detection Service, IDS) може класифікувати зв’язок між маршрутизаторами або іншими внутрішніми пристроями в мережі як потенційну атаку. Для обходу IDS можна додати відомий безпечний адрес до списку адрес, виключених із зони IDS.


note

Указані нижче статті бази знань можуть бути доступними тільки англійською мовою:

Керування правилами IDS

  • Додати: клацніть, щоб створити нове правило IDS.
  • Редагувати: клацніть, щоб змінити наявне правило IDS.
  • Видалити: виберіть і клацніть, якщо потрібно видалити наявне правило зі списку правил IDS.
  • UP_DOWN Угору/у самий верх/униз/у самий низ: дає змогу коригувати рівень пріоритетності для правил (виключення оцінюються згори вниз).

CONFIG_EPFW_IDS_EXCEPTION

Вкладка "Виключення" відображатиметься, якщо адміністратор створить виключення IDS у ESET PROTECT On-Prem Web Console. Виключення IDS можуть містити тільки правила дозволів і оцінюються перед правилами IDS.

Редактор правил

Виявлений об’єкт: уведіть виявлений об’єкт.

Ім’я загрози: можна вказати ім’я загрози для деяких доступних об’єктів виявлення.

Програма : виберіть шлях до файлу потрібної програми. Для цього клацніть … (наприклад, C:\Program Files\Firefox\Firefox.exe). НЕ вводьте назву програми.

Віддалена IP-адреса: список віддалених адрес IPv4 або IPv6/діапазонів IP-адрес/підмереж. Адреси потрібно розділяти комами.

Профіль: можна вибрати профіль підключення до мережі, до якого застосовуватиметься це правило.

Дія

Блокувати: кожен системний процес має власну поведінку за замовчуванням, а також призначену йому дію («блокувати» або «дозволити»). Щоб змінити поведінку за замовчуванням для ESET Endpoint Security, можна вибрати потрібний параметр («блокувати» або «дозволити») в розкривному меню.

Сповістити : виберіть Так, щоб показати Сповіщення на робочому столі вашого комп’ютера. Виберіть Ні, якщо не потрібно показувати сповіщення на робочому столі. Доступні значення: За замовчуванням/Так/Ні.

Журнал: виберіть Так, щоб записувати події у файли журналу ESET Endpoint Security. Виберіть Ні, щоб не записувати події у файли журналу. Доступні значення: За замовчуванням/Так/Ні.

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Вам потрібно, щоб відображалося сповіщення й кожна подія реєструвалася в журналі.

  1. Клацніть Додати, щоб додати нове правило IDS.
  2. У розкривному меню Виявлений об’єкт виберіть потрібне сповіщення.
  3. Клацніть ... і виберіть шлях до файлу програми, для якої необхідно застосувати сповіщення.
  4. Залиште пункт За замовчуванням у розкривному меню Блокувати. Це призведе до успадкування дії за замовчуванням, застосованої до ESET Endpoint Security.
  5. В обох розкривних меню Сповістити й Журнал установіть пункт Так.
  6. Щоб зберегти це сповіщення, натисніть кнопку ОК.

example

Якщо потрібно вимкнути сповіщення, які постійно відображаються, інформуючи про хибні загрози:

  1. Клацніть Додати, щоб додати нове розширення IDS.
  2. У розкривному меню Виявлений об’єкт виберіть потрібне сповіщення (наприклад, Сеанс SMB без розширень безпеки або Атака сканування портів TCP).
  3. У розкривному меню виберіть пункт Вхідний, якщо це вхідне з’єднання.
  4. У розкривному меню Сповістити виберіть пункт Ні.
  5. У розкривному меню Журнал виберіть пункт Так.
  6. Залиште поле Програма пустим.
  7. Якщо запит на зв’язок не находить від певної IP-адреси, залиште поле Віддалені IP-адреси пустим.
  8. Щоб зберегти це сповіщення, натисніть кнопку ОК.