Ansichten:

Prozedur

  1. Wählen Sie Vulnerability Protection aktivieren.
  2. Einstellungen zur Eindringungsprävention konfigurieren:
    1. Klicken Sie auf die Registerkarte Regeln zum Eindringschutz.
    2. Wählen Sie eines der folgenden Scanprofile aus:
      • (Empfohlen): Gewährleistet Schutz vor bekannten Sicherheitslücken, bietet relevantere Daten und reduziert die Leistungseinbußen auf Endpunkten
      • Aggressiv: Wendet zusätzliche Regeln zum Eindringschutz für verdächtige Netzwerkaktivitäten auf das (Empfohlen)-Scanprofil an
        Wichtig
        Wichtig
        Aggressives Durchsuchen kann eine große Anzahl nicht wesentlicher Protokolle erzeugen und die Leistung des Endpunkts beeinträchtigen. Trend Micro empfiehlt dringend die Verwendung des (Empfohlen)-Profils.
    3. (Optional) Wählen Sie eine Ansicht, um die Liste der Regeln zum Eindringschutz nach Status zu filtern.
      Anzeigen
      Beschreibung
      Alle
      Zeigt alle Regeln zum Eindringschutz an
      Standard (Aktiviert)
      Zeigt nur die Regeln zum Eindringschutz an, die das ausgewählte Scanprofil standardmäßig aktiviert
      Standard (Deaktiviert)
      Zeigt nur die Regeln zum Eindringschutz an, die das ausgewählte Scanprofil standardmäßig deaktiviert
      Benutzerdefiniert (Aktiviert)
      Zeigt nur die vom Benutzer aktivierten Regeln zum Eindringschutz an
      Benutzerdefiniert (Deaktiviert)
      Zeigt nur die vom Benutzer deaktivierten Regeln zum Eindringschutz an
    4. Ändern Sie den Status einer Regel, indem Sie aus der Status-Dropdown-Steuerung auswählen.
      • Standard (Aktiviert): Das ausgewählte Scanprofil aktiviert die entsprechende Regel standardmäßig. Wählen Sie, um den Regelstatus anzuwenden, der durch das Scanprofil definiert ist.
      • Standard (Deaktiviert): Das ausgewählte Scanprofil deaktiviert die entsprechende Regel standardmäßig. Wählen Sie, um den durch das Scanprofil definierten Regelstatus anzuwenden.
      • Benutzerdefiniert (Aktiviert): Wählen, um die Regel zu aktivieren.
      • Benutzerdefiniert (Deaktiviert): Wählen Sie, um die Regel zu deaktivieren.
  3. Einstellungen der Netzwerk-Engine konfigurieren:
    1. Klicken Sie auf die Registerkarte Einstellungen der Netzwerk-Engine.
    2. Wählen Sie den Erkennungsmodus der Netzwerkanalyse-Engine* aus.
      Hinweis
      Hinweis
      Sie können auch den ausgewählten Netzwerk-Engine-Erkennungsmodus verwenden, um die erweiterte Protokollierungsrichtlinie zu konfigurieren.
      • Inline: Live-Paketströme passieren direkt die Vulnerability Protection-Netzwerk-Engine. Alle Regeln werden auf den Netzwerkverkehr angewendet, bevor die Pakete den Protokollstapel hinaufgehen.
      • Tippen (Nur Erkennung): Live-Paketströme werden repliziert und vom Hauptstrom abgeleitet.
    3. Konfigurieren Sie die folgenden Einstellungen:
      Einstellung
      Beschreibung
      ESTABLISHED Timeout
      Wie lange im ESTABLISHED-Zustand bleiben, bevor die Verbindung geschlossen wird
      LAST_ACK-Zeitüberschreitung
      Wie lange im LAST-ACK-Zustand bleiben, bevor die Verbindung geschlossen wird
      Kaltstart-Zeitüberschreitung
      Die Zeitspanne, die nicht-SYN-Paketen erlaubt wird, die zu einer Verbindung gehören könnten, die vor dem Start des zustandsbehafteten Mechanismus hergestellt wurde
      UDP-Zeitüberschreitung
      Die maximale Dauer einer UDP-Verbindung
      Maximale TCP-Verbindungen
      Die maximale Anzahl gleichzeitiger TCP-Verbindungen
      Maximale UDP-Verbindungen
      Die maximale Anzahl gleichzeitiger UDP-Verbindungen
      Statuscode ignorieren
      Wählen Sie bis zu 3 Arten von Ereignissen zum Ignorieren aus
      Erweiterte Protokollierungsrichtlinie
      Wählen Sie unter folgenden Einstellungen:
      • Umgehen: Keine Filterung von Ereignissen. Überschreibt die Statuscode ignorieren-Einstellungen (oben) und andere erweiterte Einstellungen, überschreibt jedoch nicht die auf dem Apex One-Server definierten Protokollierungseinstellungen
      • Erkennungsmodus der Netzwerkanalyse-Engine*: Verwendet Tippen-Modus, wenn Tippen (Nur Erkennung) für den Netzwerk-Engine-Erkennungsmodus ausgewählt ist, oder Normal, wenn Inline für den Netzwerk-Engine-Erkennungsmodus ausgewählt ist
      • Normal: Alle Ereignisse werden protokolliert, außer verworfene Übertragungswiederholungen
      • Rückwärtskompatibilitätsmodus: Nur für Support verwenden
      • Ausführlicher Modus: Gleich wie Normal, jedoch einschließlich verworfener Neuübertragungen
      • Statusbehaftete und Normalisierungsunterdrückung: Ignoriert verworfene Übertragungen, außerhalb der Verbindung, ungültige Flags, ungültige Sequenz, ungültige Bestätigung, unaufgeforderte UDP, unaufgeforderte ICMP, außerhalb der erlaubten Richtlinie
      • Zustandsbehaftet, Normalisierung und Frag-Unterdrückung: Ignoriert alles, was Statusbehaftete und Normalisierungsunterdrückung ignoriert, sowie Ereignisse im Zusammenhang mit Fragmentierung
      • Statusbehaftete, Frag- und Verifizierungsunterdrückung: Ignoriert alles, was Zustandsbehaftet, Normalisierung und Frag-Unterdrückung ignoriert, sowie verifizierungsbezogene Ereignisse
      • Tippen-Modus: Ignoriert verworfene Übertragungen, außerhalb der Verbindung, ungültige Flags, ungültige Sequenz, ungültige Bestätigung, maximale Bestätigungsübertragung, Paket auf geschlossener Verbindung
      Eine umfassendere Liste der Ereignisse, die für Statusbehaftete und Normalisierungsunterdrückung, Zustandsbehaftet, Normalisierung und Frag-Unterdrückung, Statusbehaftete, Frag- und Verifizierungsunterdrückung und Tippen-Modus ignoriert werden, finden Sie unter Erweiterte Protokollierungsrichtlinienmodi.
  4. Klicken Sie auf Speichern, um die Einstellungen zu übernehmen.
Zugehörige Informationen