IDS 규칙

상황에 따라 IDS(침입 탐지 서비스)에서 라우터 또는 기타 내부 네트워킹 장치 간의 통신을 잠재적 공격으로 탐지할 수 있습니다. 예를 들면, 알려진 안전한 주소를 IDS에서 제외된 주소 영역에 추가하여 IDS를 우회할 수 있습니다.

note

다음 ESET 지식 베이스 문서는 영어로만 제공됩니다.

ESET Endpoint Security(8.x)에서 클라이언트 워크스테이션에 대한 IDS 규칙 생성

ESET PROTECT(8.x)에서 클라이언트 워크스테이션에 대한 IDS 규칙 생성

탐지 – 탐지 유형.

응용 프로그램 – ...를 클릭하여 예외 애플리케이션의 파일 경로를 선택합니다(예: C:\Program Files\Firefox\Firefox.exe). 애플리케이션의 이름을 입력하지 마십시오.

원격 IP - 원격 IPv4 또는 IPv6 주소/범위/서브넷의 목록입니다. 여러 개의 주소는 쉼표로 구분해야 합니다.

차단 - 각 시스템 프로세스에는 고유한 기본 동작 및 할당된 동작(차단 또는 허용)이 있습니다. ESET Endpoint Security의 기본 동작을 재정의하려면 드롭다운 메뉴를 사용하여 해당 프로세스를 차단할지 아니면 허용할지 선택할 수 있습니다.

알림 – 컴퓨터에 바탕 화면 알림을 표시하려면 예를 선택합니다. 바탕 화면 알림을 원치 않을 경우아니요를 선택합니다. 사용 가능한 값은 기본값/예/아니요입니다.

로그 – 이벤트를 ESET Endpoint Security 로그 파일에 기록하려면 를 선택합니다. 이벤트를 기록하지 않으려면 아니요를 선택합니다. 사용 가능한 값은 기본값//아니요입니다.

CONFIG_EPFW_IDS_EXCEPTION

관리자가 ESET PROTECT 웹 콘솔에서 IDS 제외를 생성하면 탭 제외가 표시됩니다. IDS 제외에는 허용 규칙만 포함될 수 있으며 IDS 규칙보다 먼저 평가됩니다.

IDS 규칙 관리

추가 - 새 IDS 규칙을 생성하려면 클릭합니다.

편집 - 기존 IDS 규칙을 편집하려면 클릭합니다.

제거 - IDS 규칙 목록에서 기존 예외를 제거하려면 선택 및 클릭합니다.

UP_DOWN 맨 위로/위로/아래로/맨 아래로 - 규칙의 우선 순위 수준을 조정할 수 있습니다(예외는 위에서 아래로 평가됨).

CONFIG_EPFW_IDS_EXCEPTION_EDIT

example

이벤트가 발생할 때마다 알림을 표시하고 로그를 수집하려는 경우:

1.추가를 클릭하여 새 IDS 규칙을 추가합니다.

2.탐지 드롭다운 메뉴에서 특정 경고를 선택합니다.

3....를 클릭하고 알림을 적용하려는 애플리케이션의 파일 경로를 선택합니다.

4.차단 드롭다운 메뉴에서 기본값을 그대로 둡니다. 그러면 ESET Endpoint Security가 적용하는 기본 동작이 상속됩니다.

5.알림로그 드롭다운 메뉴를 모두 로 설정합니다.

6.확인을 클릭하여 이 알림을 저장합니다.

example

위협으로 간주되지 않는 특정 유형의 탐지에 대해 반복적 알림을 제거하려는 경우:

1.추가를 클릭하여 새 IDS 예외를 추가합니다.

2.탐지 드롭다운 메뉴에서 특정 경고(예: 보안 확장이 없는 SMB 세션)를 선택합니다. TCP 포트 검사 공격.

3.인바운드 통신에 적용되는 경우 방향 드롭다운 메뉴에서 In을 선택합니다.

4.알림 드롭다운 메뉴를 아니요로 설정합니다.

5.로그 드롭다운 메뉴를 로 설정합니다.

6.애플리케이션을 공백으로 둡니다.

7.통신이 특정 IP 주소로부터 들어오지 않는 경우 원격 IP 주소를 공백으로 둡니다.

8.확인을 클릭하여 이 알림을 저장합니다.