Интернет-справка ESET

Поиск Русский
Выберите тему

Правила IDS

В некоторых случаях система обнаружения вторжения (Intrusion Detection Service, IDS) может расценить передачу информации между маршрутизаторами или другими внутренними сетевыми устройствами как потенциальную атаку. Например, вы можете добавить известный безопасный адрес в адреса, исключенные из системы обнаружения вторжений, чтобы обойти IDS.


note

Следующие статьи из базы знаний ESET могут быть доступны только на английском языке:

Столбцы

  • Обнаружение: тип обнаружения.
  • Приложение: выберите путь к файлу исключенного приложения, щелкнув ... (например, C:\Program Files\Firefox\Firefox.exe). НЕ вводите имя приложения.
  • Удаленный IP-адрес. Список удаленных адресов, диапазонов или подсетей (IPv4 или IPv6). Несколько адресов следует разделять запятой.
  • Блокировать. Каждый системный процесс имеет свое поведение по умолчанию и назначенное действие (блокировать или разрешить). Для изменения поведения ESET Endpoint Security по умолчанию вы можете разрешить или заблокировать его запуск из раскрывающегося меню.
  • Уведомить. Выберите Да, чтобы отображать уведомления на рабочем столе на своем компьютере. Выберите Нет, чтобы отключить уведомления. Доступные значения: По умолчанию, Да, Нет.
  • Записать в журнал. Выберите Да, чтобы записывать события в файлы журнала ESET Endpoint Security. Выберите Нет, чтобы отключить запись. Доступные значения: По умолчанию, Да, Нет.

CONFIG_EPFW_IDS_EXCEPTION

Вкладка «Исключения» отображается в том случае, если администратор создал исключения IDS в веб-консоли ESET PROTECT. Исключения IDS могут содержать только разрешающие правила и оцениваются перед правилами IDS.

Управление правилами IDS

  • Добавить: нажмите для создания нового правило IDS.
  • Изменить: нажмите для изменения существующего правила IDS.
  • Удалить: выберите и щелкните для удаления правила IDS из списка исключений.
  • UP_DOWN Вверх/Поднять/Опустить/Вниз: позволяет настроить уровень приоритета правил (исключения обрабатываются сверху вниз).

CONFIG_EPFW_IDS_EXCEPTION_EDIT


example

Чтобы отображать уведомление и выполнять запись в журнал при каждом возникновении события:

  1. ЩелкнитеДобавить, чтобы добавить новое правило IDS.
  2. Выберите нужное предупреждение в раскрывающемся меню Обнаружение.
  3. Щелкните ... и выберите путь к файлу приложения, к которому будет применено уведомление.
  4. Оставьте значение По умолчанию в раскрывающемся менюБлокировать. Это позволит унаследовать действие по умолчанию, примененное ESET Endpoint Security.
  5. Выберите в раскрывающихся меню Уведомить иЗаписать в журнал значения Да.
  6. Щелкните ОК, чтобы сохранить это уведомление.

example

Чтобы удалить повторяющиеся уведомления о типе обнаружения, который вы не рассматриваете как угрозу:

  1. ЩелкнитеДобавить, чтобы добавить новое исключение IDS.
  2. Выберите нужное предупреждение в раскрывающемся меню Обнаружение, например Сеанс SMB без расширений безопасности. атака сканирования портов TCP.
  3. Выберите В в раскрывающемся меню с направлениями для входящего подключения.
  4. Выберите для раскрывающегося меню Уведомить значение Нет.
  5. Выберите для раскрывающегося меню Записать в журнал значение Да.
  6. Оставьте значение Приложение пустым.
  7. Если входящий трафик поступает не с определенного IP-адреса, оставьте значение Удаленные IP-адреса пустым.
  8. Щелкните ОК, чтобы сохранить это уведомление.