กฎ IDS

ในบางสถานการณ์ บริการการตรวจหาผู้บุรุก (IDS) อาจตรวจพบว่าการสื่อสารระหว่างเราเตอร์หรืออุปกรณ์เครือข่ายภายในอื่นๆ อาจเป็นการโจมตีได้ ตัวอย่างเช่น คุณสามารถเพิ่มที่อยู่ที่แน่ใจว่าปลอดภัยไปยังที่อยู่ที่ยกเว้นของโซน IDS เพื่อข้าม IDS ได้


note

บทความฐานความรู้ ESET ต่อไปนี้อาจมีให้เป็นภาษาอังกฤษเท่านั้น:

สร้างกฎ IDS บนเวิร์กสเตชันไคลแอนด์ใน ESET Endpoint Security (8.x)

สร้างกฎ IDS สำหรับเวิร์กสเตชันไคลแอนด์ใน ESET PROTECT (8.x)

คอลัมน์

การตรวจหา – ประเภทการยกเว้นการตรวจหา

แอพพลิเคชัน – เลือกพาธไฟล์ของแอพพลิเคชันที่ได้รับการยกเว้นโดยการคลิก... (ตัวอย่างเช่น C:\Program Files\Firefox\Firefox.exe) อย่าป้อนชื่อของแอพพลิเคชัน

IP ระยะไกล – รายการที่อยู่ / ระยะ / ซับเน็ต IPv4 หรือ IPv6 ที่อยู่หลายแห่งต้องคั่นด้วยเครื่องหายคอมมา

ปิดกั้น – แต่ละกระบวนการของระบบมีค่าเริ่มต้นของการทำงานและการทำงานที่กำหนดเป็นของตนเอง (ปิดกั้นหรืออนุญาต) เมื่อต้องการเขียนทับค่าเริ่มต้นของการทำงานสำหรับ ESET Endpoint Security คุณสามารถเลือกปิดกั้นหรืออนุญาตค่าเริ่มต้นนั้นโดยใช้เมนูแบบเลื่อนลง

แจ้งเตือน – เลือก ใช่ เพื่อแสดง แอพพลิเคชันบนเดสก์ท็อป ในคอมพิวเตอร์ของคุณ เลือก ไม่ หากคุณไม่ต้องการการแจ้งเตือนบนเดสก์ท็อป ค๋าที่จะมีให้ใช้งานคือค่าเริ่มต้น/ใช่/ไม่

บันทึก – เลือกใช่ เพื่อบันทึกกิจกรรม ESET Endpoint Security ไฟล์บันทึก เลือก ไม่ หากคุณไม่ต้องการบันทึกกิจกรรม ค่าที่มีให้ใช้งานคือ ค่าเริ่มต้น/ใช่/ไม่

CONFIG_EPFW_IDS_EXCEPTION

แท็บการยกเว้นจะปรากฏขึ้นหากผู้ดูแลระบบสร้างการยกเว้น IDS ในเว็บคอนโซล ESET PROTECT การยกเว้น IDS สามารถมีกฎการอนุญาตเท่านั้นและจะได้รับการประเมินก่อนกฎ IDS

การจัดการกฎ IDS

เพิ่ม – คลิกเพื่อสร้างกฎ IDS ใหม่

แก้ไข – คลิกเพื่อแก้ไขกฎ IDS ที่มีอยู่

ลบออก – เลือกและคลิกตัวเลือกนี้หากคุณต้องการลบข้อยกเว้นที่มีอยู่ออกจากรายการกฎ IDS

UP_DOWN บนสุด/ขึ้น/ลง/ล่างสุด – อนุญาตให้คุณปรับระดับความสำคัญของกฎ (ข้อยกเว้นจะถูกประเมินจากบนลงล่าง)

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

คุณต้องการแสดงการแจ้งเตือนและรวบรวมบันทึกในแต่ละครั้งที่กิจกรรมเกิดขึ้น:

1.คลิก เพิ่ม เพื่อเพิ่มกฎ IDS ใหม่

2.เลือกการเตือนเฉพาะจากเมนู การตรวจหา แบบเลื่อนลง

3.คลิก ... แล้วเลือกพาธไฟล์ ของแอพพลิเคชันที่ คุณต้องการใช้การแจ้งเตือน

4.ออกจากค่าเริ่มต้น ในเมนูปิดกั้น แบบเลื่อนลง วิธีนี้จะสืบทอดการกระทำที่ใช้โดย ESET Endpoint Security

5.ตั้งค่าทั้ง การแจ้งเตือน และเมนู บันทึก แบบเลื่อนลงเพื่อ ใช่

6.คลิก ตกลง เพื่อบันทึกการแจ้งเตือน


example

คุณต้องการลบการแจ้งเตือนที่เกิดขึ้นอีกครั้งออกสำหรับประเภทของการตรวจหาที่คุณไม่คิดว่าเป็นภัยคุกคาม:

1.คลิก เพิ่ม เพื่อเพิ่มข้อยกเว้น IDS

2.เลือกการแจ้งเตือนเฉพาะจากเมนูการตรวจหาแบบเลื่อนลง ตัวอย่างเช่นส่วน SMB ที่ไม่มีส่วนขยายด้านการรักษาความปลอดภัย การโจมตีโดยการสแกนพอร์ต TCP.

3.เลือก ใน จากเส้นทางเมนูแบบเลื่อนลงในกรณีที่มาจากการสื่อสารขาเข้า

4.ตั้งค่าเมนู การแจ้งเตือน แบบเลื่อนลงไปยัง ไม่

5.ตั้งค่าเมนู บันทึก แบบเลื่อนลง ใช่

6.ปล่อยแอพพลิเคชัน ว่างเปล่า

7.หากการสื่อสารไม่ได้มาจากที่อยู่ IP เฉพาะ ให้ปล่อย ที่อยู่ IP ระยะไกล ว่างไว้

8.คลิก ตกลง เพื่อบันทึกการแจ้งเตือน