Правила IDS

В некоторых случаях система обнаружения вторжения (Intrusion Detection Service, IDS) может расценить передачу информации между маршрутизаторами или другими внутренними сетевыми устройствами как потенциальную атаку. Например, вы можете добавить известный безопасный адрес в адреса, исключенные из системы обнаружения вторжений, чтобы обойти IDS.


note

Следующие статьи из базы знаний ESET могут быть доступны только на английском языке:

Создание правил IDS на рабочих станциях клиента в ESET Endpoint Security (8.x)

Создание правил IDS для рабочих станций клиента в ESET PROTECT (8.x)

Столбцы

Обнаружение: тип обнаружения.

Приложение: выберите путь к файлу исключенного приложения, щелкнув ... (например, C:\Program Files\Firefox\Firefox.exe). НЕ вводите имя приложения.

Удаленный IP-адрес. Список удаленных адресов, диапазонов или подсетей (IPv4 или IPv6). Для разделения адресов используйте запятую.

Блокировать. Каждый системный процесс имеет свое поведение по умолчанию и назначенное действие (блокировать или разрешить). Для изменения поведения ESET Endpoint Security по умолчанию вы можете разрешить или заблокировать его запуск из раскрывающегося меню.

Уведомить. Выберите Да, чтобы отображать уведомления на рабочем столе на своем компьютере. Выберите Нет, чтобы отключить уведомления. Доступные значения: По умолчанию, Да, Нет.

Записать в журнал. Выберите Да, чтобы записывать события в файлы журнала ESET Endpoint Security. Выберите Нет, чтобы отключить запись. Доступные значения: По умолчанию, Да, Нет.

CONFIG_EPFW_IDS_EXCEPTION

Вкладка «Исключения» отображается в том случае, если администратор создал исключения IDS в веб-консоли ESET PROTECT. Исключения IDS могут содержать только разрешающие правила и оцениваются перед правилами IDS.

Управление правилами IDS

Добавить: нажмите для создания нового правило IDS.

Изменить: нажмите для изменения существующего правила IDS.

Удалить: выберите и щелкните для удаления правила IDS из списка исключений.

UP_DOWN Вверх/Поднять/Опустить/Вниз: позволяет настроить уровень приоритета правил (исключения обрабатываются сверху вниз).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Чтобы отображать уведомление и выполнять запись в журнал при каждом возникновении события:

1.ЩелкнитеДобавить, чтобы добавить новое правило IDS.

2.Выберите нужное предупреждение в раскрывающемся меню Обнаружение.

3.Щелкните ... и выберите путь к файлу приложения, к которому будет применено уведомление.

4.Оставьте значение По умолчанию в раскрывающемся менюБлокировать. Это позволит унаследовать действие по умолчанию, примененное ESET Endpoint Security.

5.Выберите в раскрывающихся меню Уведомить иЗаписать в журнал значения Да.

6.Щелкните ОК, чтобы сохранить это уведомление.


example

Чтобы удалить повторяющиеся уведомления о типе обнаружения, который вы не рассматриваете как угрозу:

1.ЩелкнитеДобавить, чтобы добавить новое исключение IDS.

2.Выберите нужное предупреждение в раскрывающемся меню Обнаружение, например Сеанс SMB без расширений безопасности. атака сканирования портов TCP.

3.Выберите В в раскрывающемся меню с направлениями для входящего подключения.

4.Выберите для раскрывающегося меню Уведомить значение Нет.

5.Выберите для раскрывающегося меню Записать в журнал значение Да.

6.Оставьте значение Приложение пустым.

7.Если входящий трафик поступает не с определенного IP-адреса, оставьте значение Удаленные IP-адреса пустым.

8.Щелкните ОК, чтобы сохранить это уведомление.