Ansichten:
Führen Sie die Aufgaben in den unten stehenden Abschnitten aus, um die Regeln zum Eindringschutz zu konfigurieren und damit zu arbeiten.
Für einen Überblick über das Modul zur Eindringungserkennung siehe Exploit-Versuche mit Eindringungserkennung sperren.

Die Liste der Regeln zum Eindringschutz Übergeordnetes Thema

Die Seite "Richtlinien" bietet eine Liste der Regeln zum Eindringschutz. Sie können nach Regeln zum Eindringschutz suchen sowie die Eigenschaften der Regeln öffnen und bearbeiten. In der Liste sind die Regeln nach Anwendungstyp gruppiert, und einige Eigenschaften der Regeln erscheinen in verschiedenen Spalten.
Tipp
Tipp
Die TippingPoint-Spalte enthält die entsprechende Trend Micro TippingPoint-Regel-ID. In der erweiterten Suche für Eindringschutz können Sie nach der TippingPoint-Regel-ID suchen. Sie können die TippingPoint-Regel-ID auch in der Liste der zugewiesenen Regeln zum Eindringschutz im Richtlinien- und Computer-Editor sehen.
Um die Liste anzuzeigen, klicken Sie auf Richtlinien und dann unter Common Objects/Rules auf Regeln zum Eindringschutz.

Eindringschutz-Lizenzarten Übergeordnetes Thema

Die Spalte Regelverfügbarkeit bietet Informationen über die verfügbaren Lizenzarten für die Regel. Endpoint & Workload zeigt an, dass diese Regel sowohl unter Endpunkt- als auch Workload-Lizenzen zugewiesen werden kann. Workload Regelverfügbarkeit bedeutet, dass die Regel nur zugewiesen werden kann, wenn die Lizenzart Workload ist.
Die Lizenzart ist Endpunkt, wenn alle zugewiesenen Regeln die Regelverfügbarkeit Endpoint & Workload haben, und sie ist Workload, wenn mindestens eine der zugewiesenen Regeln die Workload-Regelverfügbarkeit hat.

Informationen zu einer Eindringungspräventionsregel anzeigen Übergeordnetes Thema

Die Eigenschaften der Regeln zum Eindringschutz umfassen Informationen über die Regel und den Exploit, gegen den sie schützt.

Prozedur

  1. Klicken Sie auf RichtlinienRegeln zum Eindringschutz.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.

Allgemeine Informationen Übergeordnetes Thema

  • Name: Der Name der Eindringschutzregel.
  • Beschreibung: Die Beschreibung der Eindringungsschutzregel.
  • Minimum Agent/Appliance Version: Die Mindestversion des Agents, die erforderlich ist, um diese Eindringungsschutzregel zu unterstützen.

Details Übergeordnetes Thema

Durch Klicken auf Neu (new=113a0212-fff8-4d58-8639-eee7dc505d85.png) oder Eigenschaften (details=6adf47dd-913c-4586-8dcf-b57640800e39.png) wird das Regeln zum Eindringschutz – Eigenschaften-Fenster angezeigt.
Hinweis
Hinweis
Regeln zum Eindringschutz von Trend Micro sind nicht direkt über Server- und Workload Protection bearbeitbar. Wenn die Regel zum Eindringschutz eine Konfiguration erfordert (oder zulässt), sind diese Konfigurationsoptionen auf der Registerkarte Konfiguration verfügbar. Eigene Regeln zum Eindringschutz, die Sie selbst erstellen, sind bearbeitbar, in diesem Fall wird die Registerkarte Regeln sichtbar sein.
  • Anwendungstyp: Der Anwendungstyp, unter dem diese Eindringungspräventionsregel gruppiert ist.
    Tipp
    Tipp
    Sie können Anwendungstypen von diesem Panel aus bearbeiten. Wenn Sie einen Anwendungstyp von hier bearbeiten, werden die Änderungen auf alle Sicherheitselemente angewendet, die ihn verwenden.
  • !!Priority!!: Die Prioritätsstufe der Regel. Regeln mit höherer Priorität werden vor Regeln mit niedrigerer Priorität angewendet.
  • Schweregrad: Das Festlegen des Schweregrads einer Regel hat keinen Einfluss darauf, wie die Regel implementiert oder angewendet wird. Schweregrade können nützlich als Sortierkriterium sein, wenn eine Liste von Regeln zum Eindringschutz angezeigt wird. Wichtiger ist, dass jedem Schweregrad ein Schwerewert zugeordnet ist; dieser Wert wird mit dem Asset-Wert eines Computers multipliziert, um die Einstufung eines Ereignisses zu bestimmen. (Siehe AdministrationSystem SettingsEinstufung.)
  • CVSS-Bewertung: Ein Maß für die Schwere der Sicherheitslücke gemäß der National Vulnerability Database.

Identifizierung (nur Trend Micro-Regeln) Übergeordnetes Thema

  • Typ: Kann entweder Smart (eine oder mehrere bekannte und unbekannte (Zero-Day) Schwachstellen), Exploit (ein spezifischer Exploit, normalerweise signaturbasiert) oder Sicherheitslücke (eine spezifische Sicherheitslücke, für die ein oder mehrere Exploits existieren können) sein.
  • Ausgestellt: Das Datum, an dem die Regel veröffentlicht wurde. Dies gibt nicht an, wann die Regel heruntergeladen wurde.
  • Zuletzt aktualisiert: Das letzte Mal, als die Regel entweder lokal oder während des Komponenten-Update-Downloads geändert wurde.
  • Bezeichner: Das eindeutige Identifikationsetikett der Regel.

Informationen zur zugehörigen Sicherheitslücke anzeigen (nur Trend Micro-Regeln) Übergeordnetes Thema

Regeln, die Trend Micro bereitstellt, können Informationen über die Sicherheitslücke enthalten, gegen die die Regel schützt. Wenn zutreffend, wird das Common Vulnerability Scoring System (CVSS) angezeigt. (Für Informationen zu diesem Bewertungssystem siehe die CVSS-Seite in der National Vulnerability Database.)

Prozedur

  1. Klicken Sie auf RichtlinienRegeln zum Eindringschutz.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Schwachstellen.

Regeln zuweisen und entfernen Übergeordnetes Thema

Um Regeln zum Eindringschutz während Agenten-Scans anzuwenden, weisen Sie diese den entsprechenden Richtlinien und Computern zu. Wenn die Regel nicht mehr erforderlich ist, weil die Sicherheitslücke behoben wurde, weisen Sie die Regel ab.
Wenn Sie Regeln zum Eindringschutz nicht aus einem Computer-Editor entfernen können, liegt das wahrscheinlich daran, dass die Regeln derzeit in einer Richtlinie zugewiesen sind. Regeln, die auf Richtlinienebene zugewiesen sind, müssen mit dem Richtlinien-Editor entfernt werden und können nicht auf Computerebene entfernt werden.
Wenn Sie eine Richtlinie ändern, wirkt sich dies auf alle Computer aus, die diese Richtlinie verwenden. Wenn Sie beispielsweise eine Regel von einer Richtlinie entfernen, wird die Regel von allen Computern entfernt, die durch diese Richtlinie geschützt sind. Um die Regel weiterhin auf andere Computer anzuwenden, erstellen Sie eine neue Richtlinie für diese Gruppe von Computern. (Siehe Richtlinien, Vererbung und Überschreibungen.)
Tipp
Tipp
Um die Richtlinien und Computer zu sehen, denen eine Regel zugewiesen ist, sehen Sie sich die Registerkarte "Zugewiesen an" der Eigenschaften der Regel an.

Prozedur

  1. Auf der Richtlinien-Seite klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen Sie Details aus.
  2. Klicken Sie auf Intrusion PreventionAllgemein. Die der Richtlinie zugewiesenen Regeln erscheinen in der Assigned Intrusion Prevention Rules-Liste.
  3. Klicken Sie auf Assign/Unassign.
  4. Um eine Regel zuzuweisen, aktivieren Sie das Kästchen neben der Regel.
    Ein Teil der Regeln zum Eindringschutz, genannt Kern-Endpunkt- und Workload-Regeln, schützt vor bekannten Sicherheitslücken. Diese Regeln sind für alle Lizenzarten verfügbar und können einfach als Gruppe zugewiesen werden:
    1. Wählen Sie Rule Selection.
    2. Klicken Sie auf Select all Core Endpoint & Workload Rules.
  5. Um eine Regel zuzuweisen, deaktivieren Sie das Kästchen neben der Regel.
    Um Endpunkt- und Workload-Regeln aufzuheben:
    • Wählen Sie Rule Selection.
    • Klicken Sie auf Deselect all Core Endpoint & Workload Rules.
  6. Klicken Sie auf OK.

Automatisch Kern-Endpunkt- und Workload-Regeln zuweisen Übergeordnetes Thema

Server- und Workload Protection weist dieser Richtlinie bei Regelaktualisierungen die Kern-Endpunkt- und Workload-Regeln zu. Manuell nicht zugewiesene Kern-Endpunkt- und Workload-Regeln bleiben jedoch unzugewiesen.
Aktivieren Sie diese Funktion, wenn Sie die Endpoint license haben, aber für die Workload license deaktivieren Sie diese Funktion und verwenden Sie stattdessen Empfehlungsdurchsuchungen.

Prozedur

  1. Auf der Richtlinien-Seite klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen Sie Details aus.
  2. Wählen Sie Intrusion PreventionAllgemein. Die der Richtlinie zugewiesenen Regeln erscheinen in der Assigned Intrusion Prevention Rules-Liste.
  3. Wählen Sie Ja für Implement core Endpoint & Workload rules automatically.
  4. Klicken Sie auf Save.

Aktualisierte erforderliche Regeln automatisch zuweisen Übergeordnetes Thema

Sicherheitsupdates können neue oder aktualisierte Anwendungstypen und Regeln zum Eindringschutz enthalten, die die Zuweisung sekundärer Regeln zum Eindringschutz erfordern. Server- und Workload Protection kann diese erforderlichen Regeln automatisch zuweisen. Aktivieren Sie diese automatischen Zuweisungen in den Eigenschaften für die Richtlinie oder den Computer.

Prozedur

  1. Auf der Seite Richtlinien klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen Sie Details.
  2. Wählen Sie Intrusion PreventionErweitert aus.
  3. Im Bereich Rule Updates wählen Sie Ja aus.
  4. Klicken Sie auf OK.

Ereignisprotokollierung für Regeln konfigurieren Übergeordnetes Thema

Konfigurieren Sie Protokollierungsereignisse für eine Regel und geben Sie an, ob Paketdaten im Protokoll enthalten sein sollen.
Server- und Workload Protection kann X-Forwarded-For-Header in Ereignissen zur Eindringungsverhinderung anzeigen, wenn sie in den Paketdaten verfügbar sind. Diese Informationen können nützlich sein, wenn der Agent hinter einem Load Balancer oder Proxy steht. Die X-Forwarded-For-Header-Daten erscheinen im Eigenschaftenfenster des Ereignisses. Um die Header-Daten einzuschließen, fügen Sie Paketdaten in das Protokoll ein und weisen Sie die Regel 1006540 zu, Aktivieren der X-Forwarded-For HTTP-Header-Protokollierung.
Da es unpraktisch wäre, jedes Mal alle Paketdaten aufzuzeichnen, wenn eine Regel ein Ereignis auslöst, zeichnet Server- und Workload Protection die Daten nur beim ersten Auftreten des Ereignisses innerhalb eines bestimmten Zeitraums auf. Die Standardzeit beträgt fünf Minuten, aber Sie können dies mithilfe der Period for Log only one packet within period in den Erweiterten Einstellungen der Netzwerk-Engine für die Richtlinie ändern.
Die Konfiguration im folgenden Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Klicken Sie auf RichtlinienRegeln zum Eindringschutz.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Auf der Registerkarte Allgemein unter Ereignisse wählen Sie aus diesen Optionen aus:
    • Um das Protokollieren für die Regel zu deaktivieren, wählen Sie Disable Event Logging.
    • Um ein Ereignis zu protokollieren, wenn ein Paket verworfen oder gesperrt wird, wählen Sie Generate Event on Packet Drop.
    • Um die Paketdaten in den Protokolleintrag aufzunehmen, wählen Sie Always Include Packet Data.
    • Um mehrere Pakete vor und nach dem erkannten Paket zu protokollieren, wählen Sie Enable Debug Mode. Verwenden Sie den Debug-Modus nur, wenn Ihr Support-Anbieter Sie dazu auffordert.
  4. Um Paketdaten im Protokoll einzuschließen, erlauben Sie Regeln, Paketdaten zu erfassen:
    1. Öffnen Sie die Richtlinie auf der Seite "Richtlinien".
    2. Wählen Sie Intrusion PreventionErweitert aus.
    3. Unter Event Data wählen Sie Ja aus.

Warnungen generieren Übergeordnetes Thema

Generieren Sie eine Warnung, wenn eine Eindringungsverhinderungsregel ein Ereignis auslöst.
Die Konfiguration im folgenden Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Wählen Sie eine Regel aus.
  3. Klicken Sie auf Eigenschaften.
  4. Klicken Sie auf die Registerkarte Optionen.
  5. Für Warnung wählen Sie Aktiviert
  6. Klicken Sie auf OK.

Konfigurationsoptionen festlegen (nur Trend Micro-Regeln) Übergeordnetes Thema

Einige Regeln zum Eindringschutz, die Trend Micro bereitstellt, bieten Konfigurationsoptionen wie Header-Länge, erlaubte Erweiterungen für HTTP oder Cookie-Länge. Einige Optionen erfordern, dass Sie sie konfigurieren. Wenn Sie eine Regel zuweisen, ohne eine erforderliche Option festzulegen, werden Sie durch eine Warnung über die erforderliche Option informiert. Dies gilt auch für alle Regeln aus Sicherheitsupdates.
Die Liste der Regeln zum Eindringschutz zeigt Regeln an, die Konfigurationsoptionen haben, indem ein kleines Zahnrad über dem Symbol angezeigt wird (dpi_rules_option=84381749-8bce-4bd3-82d6-ae9e9804e843.png).
Benutzerdefinierte Regeln zum Eindringschutz enthalten eine Regeln-Registerkarte zum Bearbeiten der Regeln.
Die Konfiguration im folgenden Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Konfiguration.
  4. Konfigurieren Sie die Eigenschaften.
  5. Klicken Sie auf OK.

Aktive Zeiten planen Übergeordnetes Thema

Planen Sie die Zeit, während der eine Regel zum Eindringschutz aktiv ist. Regeln zum Eindringschutz, die nur zu geplanten Zeiten aktiv sind, erscheinen auf der Seite Regeln zum Eindringschutz mit einer kleinen Uhr auf dem Symbol (dpi_rules_schedule=5cff676b-4b6c-4114-8806-ef553e28b667.png).
Mit agentenbasierter Schutz verwenden Zeitpläne die gleiche Zeitzone wie das Betriebssystem des Endpunkts.
Die Konfiguration, die im folgenden Verfahren durchgeführt wird, betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Optionen.
  4. Unter Zeitplan wählen Sie eine der folgenden Optionen aus:
    • Neu
    • Die Frequenz
  5. Bearbeiten Sie den Zeitplan.
  6. Klicken Sie auf OK.

Von Empfehlungen ausschließen Übergeordnetes Thema

Regeln zum Eindringschutz von Regelvorschlägen der Empfehlungsdurchsuchungen ausschließen.
Das folgende Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Optionen.
  4. Unter Recommendations Options wählen Sie Exclude from Recommendations aus.
  5. Klicken Sie auf OK.

Legen Sie den Kontext für eine Regel fest Übergeordnetes Thema

Legen Sie den Kontext fest, in dem die Regel angewendet wird.
Das folgende Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Klicken Sie auf RichtlinienRegeln zum Eindringschutz.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Klicken Sie auf die Registerkarte Optionen.
  4. Im Bereich Context wählen Sie Neu oder wählen Sie einen Kontext aus.
  5. Bearbeiten Sie den Kontext nach Bedarf.
  6. Klicken Sie auf OK.

Das Verhaltensmuster für eine Regel überschreiben Übergeordnetes Thema

Legen Sie den Verhaltensmodus einer Regel zum Eindringschutz auf Erkennen fest, wenn Sie neue Regeln testen. Im Erkennungsmodus erstellt die Regel einen Protokolleintrag mit dem Präfix nur erkennen: und greift nicht in den Datenverkehr ein. Einige Regeln zum Eindringschutz funktionieren nur im Erkennungsmodus. Sie können den Verhaltensmodus für diese Regeln nicht ändern. Wenn Sie die Protokollierung für die Regel deaktivieren, protokolliert das System die Regelaktivität unabhängig vom Verhaltensmodus nicht. Weitere Informationen zu Verhaltensmodi finden Sie unter Verhaltensmodi verwenden, um Regeln zu testen.
Das folgende Verfahren betrifft alle Richtlinien. Um eine Regel für eine Richtlinie zu konfigurieren, siehe Regel- und Anwendungstypkonfigurationen überschreiben.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Wählen Sie eine Regel aus und klicken Sie auf Eigenschaften.
  3. Wählen Sie Nur erkennen.

Regel- und Anwendungstypkonfigurationen überschreiben Übergeordnetes Thema

Von einem Computer oder einem Richtlinien-Editor aus können Sie eine Eindringungsverhinderungsregel bearbeiten, sodass Änderungen nur für diese Richtlinie oder diesen Computer gelten. Sie können die Regel auch so bearbeiten, dass Änderungen global angewendet werden, sodass sie andere Richtlinien und Computer betreffen, denen diese Regel zugewiesen ist. Ebenso können Sie Anwendungstypen so konfigurieren, dass sie global oder für eine einzelne Richtlinie oder einen einzelnen Computer gelten.

Prozedur

  1. Auf der Richtlinien-Seite klicken Sie mit der rechten Maustaste auf die Richtlinie und wählen Sie Details aus.
  2. Klicken Sie auf Intrusion Prevention.
  3. Um eine Regel zu bearbeiten, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie eine der folgenden Optionen aus:
    • Eigenschaften, um die Regel nur für die Richtlinie zu bearbeiten
    • Properties (Global), um die Regel für alle Richtlinien und Computer zu bearbeiten
    Tipp
    Tipp
    Wenn Sie die Regel auswählen und auf Eigenschaften klicken, bearbeiten Sie die Regel nur für diese Richtlinie.
  4. Um den Anwendungstyp einer Regel zu bearbeiten, klicken Sie mit der rechten Maustaste auf die Regel und wählen Sie eine der folgenden Optionen aus:
    • Application Type Properties, um den Anwendungstyp nur für die Richtlinie zu bearbeiten
    • Application Type Properties (Global), um den Anwendungstyp für alle Richtlinien und Computer zu bearbeiten
    Hinweis
    Hinweis
    Sie können einem Port maximal acht Anwendungstypen zuweisen. Bei mehr als acht funktionieren die Regeln auf diesem Port nicht.
  5. Klicken Sie auf OK.

Regeln exportieren Übergeordnetes Thema

Sie können Regeln zum Eindringschutz in eine XML- oder CSV-Datei exportieren.

Prozedur

  1. Wählen Sie RichtlinienRegeln zum Eindringschutz aus.
  2. Um bestimmte Regeln zu exportieren, wählen Sie die Regeln aus. Wenn Sie keine auswählen, umfasst der Export alle Regeln.
  3. Wählen Sie eine der folgenden Optionen:
    • Für eine CSV-Datei wählen Sie ExportierenExport Selected to CSV.
    • Für eine XML-Datei wählen Sie ExportierenExport Selected to XML.

Regeln importieren Übergeordnetes Thema

Sie können Regeln zum Eindringschutz aus einer XML-Datei importieren.

Prozedur

  • Wählen Sie NeuImport From File und folgen Sie den Anweisungen im Assistenten.