Regole IDS

In alcune situazioni, Intrusion Detection Service (IDS) potrebbe rilevare la comunicazione tra i router o altri dispositivi di rete interni come attacco potenziale. Ad esempio, è possibile aggiungere l’indirizzo sicuro noto agli Indirizzi esclusi dalla zona IDS per bypassare l’IDS.


note

I seguenti articoli della Knowledge Base ESET potrebbero essere disponibili solo in inglese:

Crea regole IDS sulle workstation client in ESET Endpoint Security (8.x)

Crea regole IDS per le workstation client in ESET PROTECT (8.x)

Colonne

Rilevamento: tipo di rilevamento.

Applicazione: selezionare il percorso del file di un'applicazione esclusa facendo clic su ... (ad esempio, C:\Program Files\Firefox\Firefox.exe). NON immettere il nome dell'applicazione.

IP remoto: elenco di indirizzi, intervalli o subnet IPv4 o IPv6 remoti. Gli indirizzi multipli devono essere separati da una virgola.

Blocca:ogni processo di sistema presenta il proprio comportamento predefinito e la propria azione assegnata (blocca o consenti). Per ignorare il comportamento predefinito per ESET Endpoint Security, è possibile scegliere di bloccarlo o consentirlo utilizzando il menu a discesa.

Notifica: selezionare Sì per visualizzare le notifiche desktop sul computer. Selezionare No se non si desidera visualizzare le notifiche desktop. I valori disponibili sono Predefinito/Sì/No.

Rapporto: selezionare per registrare gli eventi nei file di rapporto di ESET Endpoint Security. Selezionare No se non si desidera registrare gli eventi. I valori disponibili sono Predefinito//No.

CONFIG_EPFW_IDS_EXCEPTION

Le esclusioni delle schede saranno visualizzate se un amministratore crea esclusioni IDS in ESET PROTECT Web Console. Le esclusioni IDS possono contenere solo le regole che consentono di eseguire questa operazione e vengono valutate prima delle regole IDS.

Gestione delle regole IDS

Aggiungi: fare clic per creare una nuova regola IDS.

Modifica: fare clic per modificare una regola IDS esistente.

Rimuovi: selezionare e fare clic se si desidera rimuovere un'eccezione esistente dall'elenco di regole IDS.

UP_DOWN In alto/Su/Giù/In basso: consente all'utente di regolare il livello di priorità delle regole (le eccezioni vengono valutate dall'alto verso il basso).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Si desidera visualizzare una notifica e raccogliere un rapporto ogni volta che si verifica l'evento:

1.Fare clic su Aggiungi per aggiungere una nuova regola IDS.

2.Selezionare un particolare avviso dal menu a discesa Rilevamento.

3.Fare clic su ... e selezionare il percorso del file dell'applicazione per cui applicare la notifica.

4.Lasciare Predefinito nel menu a discesa Blocca. In questo modo, verrà ereditata l'azione predefinita applicata da ESET Endpoint Security.

5.Impostare i menu a discesa Notifica e Rapporto su .

6.Fare clic su OK per salvare la notifica.


example

Se si desidera rimuovere le notifiche ricorrenti per un tipo di rilevamento che non si considera una minaccia:

1.Fare clic su Aggiungi per aggiungere una nuova eccezione IDS.

2.Selezionare l’avviso specifico dal menu a discesa Rilevamento, ad esempio Sessione SMB senza estensioni di protezione attacco di controllo porta TCP.

3.Selezionare In dal menu a discesa della direzione nel caso provenga da una comunicazione in ingresso.

4.Impostare il menu a discesa Notifica su No.

5.Impostare il menu a discesa Rapporto su .

6.Lasciare vuoto Applicazione.

7.Se la comunicazione non proviene da un particolare indirizzo IP, lasciare vuoto Indirizzi IP remoti.

8.Fare clic su OK per salvare la notifica.