Reguli IDS

În unele situații, este posibil ca serviciul Detectare intruziuni (IDS) să detecteze comunicarea dintre routere sau alte dispozitive din rețeaua internă drept un atac potențial. De exemplu, puteți adăuga adresa sigură cunoscută în lista de Adrese excluse din zona IDS pentru a ocoli protecția oferită de IDS.


note

Următoarele articole din Baza de cunoștințe ESET este posibil să fie disponibile numai în limba engleză:

Crearea regulilor IDS pe stații de lucru client în ESET Endpoint Security (8.x)

Crearea regulilor IDS pentru stații de lucru client în ESET PROTECT (8.x)

Coloane

Detectare – Tip de detectare.

Aplicație – Selectați calea fișierului pentru o aplicație exceptată făcând clic pe ... (de exemplu, C:\Program Files\Firefox\Firefox.exe). NU introduceți numele aplicației.

IP la distanță – o listă de adrese/intervale/subrețele IPv4 sau IPv6 la distanță. Adresele multiple trebuie separate printr-o virgulă.

Blocare – fiecare proces de sistem are propriul comportament implicit și propria acțiune atribuită (blocare sau permitere). Pentru a ignora comportamentul implicit pentru ESET Endpoint Security, puteți folosi meniul vertical pentru a selecta blocarea sau permiterea acesteia.

Notificare – Selectați Da pentru a afișa Notificări desktop pe computer. Selectați Nu dacă nu doriți notificări desktop. Valorile posibile sunt Implicit/Da/Nu.

Jurnal – Selectați Da pentru a înregistra în jurnal evenimente în fișierele jurnal ESET Endpoint Security. Selectați Nu dacă nu doriți să înregistrați în jurnal evenimentele. Valorile posibile sunt Implicit/Da/Nu.

CONFIG_EPFW_IDS_EXCEPTION

Excluderile de file se vor afișa dacă un administrator creează excluderi IDS în Consola Web ESET PROTECT. Excluderile IDS pot conține doar reguli de permitere și sunt evaluate înaintea regulilor IDS.

Gestionarea regulilor IDS

Adăugare – faceți clic pentru a crea o regulă IDS nouă.

Editare – faceți clic pentru a edita o regulă IDS existentă.

Eliminare – selectați și faceți clic dacă doriți să eliminați o excepție existentă din lista de excepții IDS.

UP_DOWN La început/Sus/Jos/La sfârșit – vă permite să modificați nivelul de prioritate al regulilor (excepțiile sunt evaluate de sus în jos).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Dacă doriți să afișați o notificare și să colectați un fișier jurnal de fiecare dată când apare un eveniment:

1.Faceți clic pe Adăugare pentru a adăuga o regulă IDS nouă.

2.Selectați o alertă specifică în meniul vertical Detectare.

3.Faceți clic pe ... și selectați calea fișierului pentru aplicația căreia doriți să-i aplicați notificarea.

4.Lăsați valoarea Implicit în meniul vertical Blocare. Acesta va moșteni acțiunea implicită aplicată de ESET Endpoint Security.

5.Setați atât meniul vertical Notificare, cât și meniul vertical Jurnal la Da.

6.Faceți clic pe OK pentru a salva această notificare.


example

Doriți să eliminați notificări recurente pentru un tip de detectare pe care nu o considerați amenințare:

1.Faceți clic pe Adăugare pentru a adăuga o excepție IDS nouă.

2.Selectați o detectare specifică în meniul vertical Detectare, de exemplu, Sesiune SMB fără extensii de securitate atac de tip Scanare porturi TCP.

3.Selectați Intrare în meniul vertical Direcție dacă provine de la o comunicație de intrare.

4.Setați meniul vertical Notificare la Nu.

5.Setați meniul vertical Jurnal la Da.

6.Lăsați Aplicație necompletată.

7.Când comunicația nu provine de la o anumită adresă IP, lăsați necompletat câmpul Adresă IP la distanță.

8.Faceți clic pe OK pentru a salva această notificare.