Правила за IDS
В някои ситуации услугата за откриване на прониквания (IDS) може да открие комуникация между рутери или други устройства за вътрешна мрежа като потенциална атака. Например можете да добавите известния безопасен адрес към адресите, изключени от IDS зоната, за да заобиколите IDS.
Следните статии в онлайн помощника на ESET може да бъдат налични и на английски: •Създаване на правила за IDS на клиентски работни станции в ESET Endpoint Security (8.x) •Създаване на правила за IDS за клиентски работни станции в ESET PROTECT (8.x) |
Колони
•Откриване – Тип на откриването.
•Приложение – изберете пътя до файла на изключено приложение, като щракнете върху ... (например C:\Program Files\Firefox\Firefox.exe). НЕ въвеждайте името на приложението.
•Отдалечен IP адрес – списък на отдалечени IPv4 или IPv6 адреси/диапазони/подмрежи. Адресите трябва да са разделени със запетая.
•Блокиране – всеки системен процес разполага със собствено поведение по подразбиране и назначено действие (блокиране или разрешаване). За да заместите поведението по подразбиране за ESET Endpoint Security, можете да изберете да го блокирате или разрешите с помощта на падащото меню.
•Известяване – изберете Да, за да покажете известия на работния плот на компютъра. Изберете Не, ако не искате известия на работния плот. Наличните стойности са По подразбиране/Да/Не.
•Дневник – изберете Да, за да регистрирате събития в регистрационните файлове на ESET Endpoint Security. Изберете Не, ако не искате за регистрирате събития. Наличните стойности са По подразбиране/Да/Не.
Разделът „Изключения“ ще се покаже, ако някой администратор създаде IDS изключения в уеб конзолата на ESET PROTECT. IDS изключенията могат да съдържат само правила за позволяване и се анализират преди правилата за IDS.
Управление на правилата за IDS
•Добавяне – щракнете тук, за да създадете ново правило за IDS.
•Редактиране – Щракнете тук, за да редактирате съществуващо правило за IDS.
•Премахване – направете избор и щракнете тук, ако искате да премахнете съществуващо изключение от списъка с правила за IDS.
• Отгоре/Нагоре/Надолу/Отдолу – позволява да коригирате нивата на приоритет на правилата (изключенията се анализират от горе надолу).
Искате да се показва известие и да се създава дневник при всяко възникване на събитието: 1.Щракнете върху Добавяне, за да добавите ново правило за IDS. 2.Изберете конкретно уведомление от падащото меню Откриване. 3.Щракнете върху ... и изберете пътя до файла на приложението, към което искате да приложите известието. 4.Оставете По подразбиране в падащото меню Блокиране. Така ще се наследи действието по подразбиране, приложено от ESET Endpoint Security. 5.Задайте и двете падащи менюта Известяване и Дневник на Да. 6.Щракнете върху ОК, за да запазите известието. |
Искате да премахнете повтарящите се известия за тип откриване, което не считате за заплаха: 1.Щракнете върху Добавяне, за да добавите ново IDS разширение. 2.Изберете конкретно уведомление от падащото меню Откриване, като например SMB сесия без разширения за защита или Атака чрез сканиране на TCP портовете. 3.Изберете Входящо от падащото меню за посоката, в случай че е породено от входяща комуникация. 4.Настройте падащото меню Известяване на Не. 5.Настройте падащото меню Дневник на Да. 6.Оставете Приложение празно. 7.Ако комуникацията не идва от конкретен IP адрес, оставете Отдалечени IP адреси празно. 8.Щракнете върху ОК, за да запазите известието. |