Règles IDS

Dans certaines situations, le service IDS (Intrusion Detection Service) peut détecter des communications entre des box Internet ou d'autres périphériques réseau internes comme des attaques potentielles. Par exemple, vous pouvez ajouter l'adresse sécurisée connue aux adresses exclues de la zone IDS pour contourner le service IDS.


note

Les articles suivants de la base de connaissances ESET peuvent être disponibles uniquement en anglais :

Créer des règles IDS sur les postes de travail clients dans ESET Endpoint Security (8.x)

Créer des règles IDS pour les postes de travail clients dans ESET PROTECT (8.x)

Colonnes

Détection : type de détection.

Application  : sélectionnez le chemin d'accès au fichier d'une application visée par l'exception en cliquant sur ... (C:\Program Files\Firefox\Firefox.exe, par exemple). NE saisissez PAS le nom de l'application.

Adresse IP distante : liste des adresses IPv4 ou IPv6 distantes/plages/sous-réseaux. Plusieurs adresses doivent être séparées par des virgules.

Bloquer : chaque processus système possède son propre comportement et une action affectée (bloquer ou autoriser). Pour remplacer le comportement par défaut de ESET Endpoint Security, vous pouvez choisir de le bloquer ou de l'autoriser à l'aide du menu déroulant.

Notifier : sélectionnez Oui pour afficher les notifications du Bureau sur votre ordinateur. Sélectionnez Non si vous ne souhaitez pas les afficher. Les valeurs disponibles sont Par défaut/Oui/Non.

Consigner : sélectionnez Oui pour consigner les événements dans les fichiers journaux de ESET Endpoint Security. Sélectionnez Non si vous ne souhaitez pas consigner les événements. Les valeurs disponibles sont Par défaut/Oui/Non.

CONFIG_EPFW_IDS_EXCEPTION

Des exclusions d'onglet s’affichent si un administrateur crée des exclusions IDS dans la console web ESET PROTECT Web Console. Les exclusions IDS peuvent contenir des règles uniquement et sont évaluées avant les règles IDS.

Gestion des règles IDS

Ajouter : cliquez sur cette option pour ajouter une nouvelle règle IDS.

Modifier : cliquez sur cette option pour modifier une règle IDS existante.

Supprimer : cliquez sur cette option si vous souhaitez supprimer une exception existante de la liste des règles IDS.

UP_DOWN Haut/Monter/Bas/Descendre : permet d'ajuster le niveau de priorité des règles (les exceptions sont évaluées du haut vers le bas).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Vous souhaitez afficher une notification et créer un journal chaque fois que l'événement se produit :

1.Cliquez sur Ajouter pour ajouter une règle IDS.

2.Sélectionnez une alerte spécifique dans le menu déroulant Détection.

3.Cliquez sur... et sélectionnez le chemin d'accès au fichier de l'application à laquelle vous souhaitez appliquer la notification.

4.Conservez l'option Par défaut dans le menu déroulant Bloquer. Cela permet d'hériter l'action par défaut appliquée par ESET Endpoint Security.

5.Définissez les menus déroulants Notifier et Consigner sur Oui.

6.Cliquez sur OK pour enregistrer cette notification.


example

Vous souhaitez supprimer les notifications récurrentes pour un type de détection que vous ne considérez pas comme une menace :

1.Cliquez sur Ajouter pour ajouter une exception IDS.

2.Sélectionnez une alerte spécifique dans le menu déroulant Détection, par exemple Session SMB sans extensions de sécurité ou attaque par balayage de ports TCP.

3.Sélectionnez Entrant dans le menu déroulant de la direction s'il s'agit d'une communication entrante.

4.Définissez le menu déroulant Notifier sur Non.

5.Définissez le menu déroulant Consigner sur Oui.

6.Laissez le champ Application vide.

7.Si la communication ne provient pas d'une adresse IP particulière, laissez le champ Adresses IP distantes vide.

8.Cliquez sur OK pour enregistrer cette notification.