Виключення IDS

В деяких випадках служба виявлення вторгнень (Intrusion Detection Service, IDS) може класифікувати зв’язок між маршрутизаторами або іншими внутрішніми пристроями в мережі як потенційну атаку. Для обходу IDS можна додати відомий безпечний адрес до списку адрес, виключених із зони IDS.

note

Ілюстровані інструкції

Указані нижче статті бази знань можуть бути доступними тільки англійською мовою:

Створення виключень IDS на клієнтських робочих станціях у ESET Endpoint Security

Створення виключень IDS на клієнтських робочих станціях у ESET Security Management Center

Стовпці

Повідомлення про загрозу: тип тривоги.

Програма : виберіть шлях до файлу потрібної програми. Для цього клацніть (наприклад, C:\Program Files\Firefox\Firefox.exe). НЕ вводьте назву програми.

Віддалена IP-адреса: список віддалених адрес IPv4 або IPv6 / діапазонів IP-адрес / підмереж. Кілька адрес потрібно розділяти комами.

Блокувати: кожен системний процес має власну поведінку за замовчуванням, а також призначену йому дію («блокувати» або «дозволити»). Щоб змінити поведінку за замовчуванням для ESET Endpoint Security, можна вибрати потрібний параметр («блокувати» або «дозволити») в розкривному меню.

Сповістити : виберіть Так, щоб показати Сповіщення на робочому столі вашого комп’ютера. Виберіть Ні, якщо не потрібно показувати сповіщення на робочому столі. Доступні значення: За замовчуванням/Так/Ні.

Журнал: виберіть Так, щоб записувати події у файли журналу ESET Endpoint Security. Виберіть Ні, щоб не записувати події у файли журналу. Доступні значення: За замовчуванням/Так/Ні.

CONFIG_EPFW_IDS_EXCEPTION

Керування виключеннями IDS

Додати: натисніть, щоб створити нове виключення IDS.

Редагувати: натисніть, щоб змінити наявне виключення IDS.

Видалити: виберіть і натисніть, якщо потрібно видалити відповідний елемент зі списку виключень IDS.

UP_DOWN Угору/у самий верх/униз/у самий низ: дає змогу коригувати рівень пріоритетності для виключень (оцінюється згори вниз).

CONFIG_EPFW_IDS_EXCEPTION_EDIT

example

Приклад

Вам потрібно, щоб відображалося сповіщення й кожна подія реєструвалася в журналі.

1.Клацніть Додати, щоб додати нове розширення IDS.

2.У розкривному меню Сповіщення виберіть потрібне сповіщення.

3.Клацніть ... і виберіть шлях до файлу програми, для якої необхідно застосувати сповіщення.

4.Залиште пункт За замовчуванням у розкривному меню Блокувати. Це призведе до успадкування дії за замовчуванням, застосованої до ESET Endpoint Security.

5.В обох розкривних меню Сповістити й Журнал установіть пункт Так.

6.Щоб зберегти це сповіщення, натисніть кнопку ОК.

example

Приклад

Ви хочете вимкнути сповіщення, які постійно відображаються, інформуючи про хибні загрози.

1.Клацніть Додати, щоб додати нове розширення IDS.

2.У розкривному меню Сповіщення виберіть потрібне сповіщення, наприклад Сеанс SMB без розширень безпеки атака сканування портів TCP.

3.У розкривному меню виберіть пункт Вхідний, якщо це вхідне з’єднання.

4.У розкривному меню Сповістити виберіть пункт Ні.

5.У розкривному меню Журнал виберіть пункт Так.

6.Залиште поле Програма пустим.

7.Якщо запит на зв’язок не находить від певної IP-адреси, залиште поле Віддалені IP-адреси пустим.

8.Щоб зберегти це сповіщення, натисніть кнопку ОК.