Ansichten:
Das Intrusion-Prevention-Modul schützt Ihre Computer vor bekannten und Zero-Day-Sicherheitslücken sowie vor SQL-Injection-Angriffen, Cross-Site-Scripting-Angriffen und anderen Schwachstellen in Webanwendungen.
Wenn für bekannte Schwachstellen in Anwendungen oder Betriebssystemen keine Patches verfügbar sind, können Regeln zum Eindringschutz den Datenverkehr abfangen, der versucht, die Sicherheitslücke auszunutzen. Sie identifizieren bösartige Software, die auf das Netzwerk zugreift, und erhöhen die Sichtbarkeit oder Kontrolle über Anwendungen, die auf das Netzwerk zugreifen. Daher sind Ihre Computer geschützt, bis Patches, die die Sicherheitslücke beheben, veröffentlicht, getestet und implementiert werden.
Schutz ist verfügbar für Dateifreigabe- und Messaging-Software wie Skype, aber auch für Webanwendungen mit Schwachstellen wie SQL-Injection und Cross-Site-Scripting (XSS). Auf diese Weise kann die Eindringungsverhinderung auch als leichtgewichtige Webanwendungs-Firewall (WAF) verwendet werden.
Um Intrusion Prevention zu aktivieren und zu konfigurieren, siehe Einrichtung von Intrusion Prevention.
Hinweis
Hinweis
Eine Liste der Betriebssysteme, auf denen die Eindringungserkennung unterstützt wird, finden Sie unter Unterstützte Funktionen nach Plattform.

Regeln zum Eindringschutz

Regeln zum Eindringschutz definieren eine Reihe von Bedingungen, die mit den Nutzlast-, Sitzungs- und Anwendungsschichten von Netzwerkpaketen (wie DNS, HTTP, SSL und SMTP) verglichen werden, sowie die Reihenfolge dieser Pakete gemäß diesen höheren Protokollschichten.
Tipp
Tipp
Firewall-Regeln untersuchen die Netzwerk- und Transportschichten eines Pakets (z. B. IP, TCP und UDP).
Wenn Agenten den Netzwerkverkehr DURCHSUCHEN und der Verkehr die Übereinstimmungsbedingungen einer Regel erfüllt, behandelt der Agent ihn als möglichen oder bestätigten Angriff und führt je nach Regel eine der folgenden Aktionen aus:
  • Pakete vollständig verwerfen
  • Verbindung zurücksetzen
Regeln zum Eindringschutz werden Richtlinien und Computern zugewiesen. Daher können Sie Regelsets auf Gruppen von Computern basierend auf der von ihnen verwendeten Richtlinie durchsetzen und bei Bedarf Richtlinien außer Kraft setzen. (Siehe Richtlinien, Vererbung und Überschreibungen.)
Weitere Informationen darüber, wie Sie die Funktionalität von Regeln beeinflussen können, finden Sie unter Regeln zum Eindringschutz konfigurieren.

Anwendungstypen

Anwendungstypen organisieren Regeln nach der Anwendung, mit der sie verknüpft sind. Anwendungstypen können auch Eigenschaftswerte speichern, auf die Regeln bei Bedarf verweisen können, wie z. B. Protokolle, die für die Kommunikation verwendet werden, und Portnummern. Einige Anwendungstypen haben konfigurierbare Eigenschaften. Zum Beispiel enthält der Anwendungstyp "Datenbank Microsoft SQL" Regeln, die mit Microsoft SQL Server verknüpft sind. Sie können diesen Anwendungstyp so konfigurieren, dass die Ports angegeben werden, die für die Verbindung zur Datenbank verwendet werden.
Für weitere Informationen siehe Anwendungstypen.

Regelaktualisierungen

Trend Micro erstellt Regeln zum Eindringschutz für Anwendungsschwachstellen, sobald diese entdeckt werden. Komponenten-Updates können neue oder aktualisierte Regeln und Anwendungstypen enthalten. Wenn eine Regel bereits einer Richtlinie zugewiesen ist und ein Update Regeln enthält, von denen die zugewiesene Regel abhängt, können Sie wählen, die aktualisierten Regeln automatisch zuzuweisen.
Tipp
Tipp
Regeln zum Eindringschutz von Trend Micro Inc enthalten Informationen über die Sicherheitslücke, gegen die sie schützen.
Regeln zum Eindringschutz von Trend Micro sind nicht direkt über die Server- und Workload Protection-Konsole bearbeitbar. Einige Regeln sind jedoch konfigurierbar, und einige Regeln erfordern eine Konfiguration. (Siehe Konfigurationsoptionen festlegen (nur Trend Micro-Regeln).)

Empfohlene Durchsuchungen

Sie können Empfehlungsscans verwenden, um die Regeln zum Eindringschutz zu entdecken, die Sie Ihren Richtlinien und Computern zuweisen sollten.
Hinweis
Hinweis
Sie benötigen eine Workload-Lizenz, um Empfehlungsscans durchzuführen.

Verwenden Sie Verhaltensmodi, um Regeln zu testen

Die Eindringungsprävention funktioniert entweder im Erkennungs- oder im Verhinderungsmodus:
  • Erkennen: Der Eindringschutz verwendet Regeln, um übereinstimmenden Datenverkehr zu erkennen und Ereignisse zu generieren, blockiert jedoch keinen Datenverkehr. Der Erkennungsmodus ist nützlich, um zu testen, dass die Regeln zum Eindringschutz den legitimen Datenverkehr nicht beeinträchtigen.
  • Verhindern: Die Intrusion Prevention verwendet Regeln, um übereinstimmenden Datenverkehr zu erkennen, Ereignisse zu generieren und den Datenverkehr zu sperren, um Angriffe zu verhindern.
Wenn Sie erstmals neue Regeln zum Eindringschutz anwenden, verwenden Sie den Erkennungsmodus, um zu überprüfen, dass sie nicht versehentlich normalen Datenverkehr sperren (falsche Positive). Wenn Sie sicher sind, dass keine falschen Positiven auftreten, können Sie den Verhinderungsmodus verwenden, um die Regeln durchzusetzen und Angriffe zu sperren. (Siehe Intrusion Prevention im Erkennungsmodus aktivieren und Zum Verhinderungsmodus wechseln.)
Tipp
Tipp
Ähnlich wie bei der Verwendung von Eindringschutz im Erkennungsmodus kann die Server- und Workload Protection Netzwerkmotor im Tap-Modus zu Testzwecken betrieben werden. Im Tap-Modus erkennt der Eindringschutz regelkonformen Datenverkehr und generiert Ereignisse, blockiert jedoch keinen Datenverkehr. Außerdem beeinflusst der Tap-Modus die Firewall- und Web Reputation-Module. Sie können den Erkennungsmodus verwenden, um Regeln zum Eindringschutz separat zu testen. Sie verwenden den Tap-Modus mit Eindringschutz auf die gleiche Weise, wie der Tap-Modus zum Testen von Firewall-Regeln verwendet wird. Siehe Testen Sie Firewall-Regeln, bevor Sie sie bereitstellen.

Verhaltensmodus für Regeln überschreiben

Indem Sie den Erkennungsmodus für einzelne Regeln auswählen, können Sie das Verhalten des Verhinderungsmodus, das auf Computer- oder Richtlinienebene festgelegt ist, selektiv überschreiben. Dies ist nützlich, um neue Regeln zum Eindringschutz zu testen, die auf eine Richtlinie oder einen Computer angewendet werden. Wenn beispielsweise eine Richtlinie so konfiguriert ist, dass der Eindringschutz im Verhinderungsmodus arbeitet, können Sie das Verhalten des Verhinderungsmodus für eine einzelne Regel umgehen, indem Sie diese Regel auf den Erkennungsmodus setzen. Nur für diese Regel protokolliert der Eindringschutz lediglich den Datenverkehr und erzwingt andere Regeln, die das Verhaltensmodus der Richtlinie nicht überschreiben. (Siehe Verhaltensmodus für eine Regel überschreiben.)
Hinweis
Hinweis
Während der Präventionsmodus auf Computer- oder Policenebene durch widersprüchliche Regel-Einstellungen außer Kraft gesetzt werden kann, ist dies beim Erkennungsmodus nicht möglich. Die Auswahl des Erkennungsmodus auf Computer- oder Policenebene erzwingt das Verhalten des Erkennungsmodus unabhängig von den Regel-Einstellungen.
Einige von Trend Micro ausgegebene Regeln verwenden standardmäßig den Erkennungsmodus. Beispielsweise verwenden Mail-Client-Regeln im Allgemeinen den Erkennungsmodus, da sie im Verhinderungsmodus das Herunterladen aller Mails sperren. Einige Regeln lösen nur dann einen Alarm aus, wenn eine Bedingung eine große Anzahl von Malen oder eine bestimmte Anzahl von Malen innerhalb eines bestimmten Zeitraums auftritt. Diese Arten von Regeln gelten für Datenverkehr, der nur dann als verdächtiges Verhalten angesehen wird, wenn eine Bedingung wiederholt auftritt, und ein einzelnes Auftreten der Bedingung wird als normal betrachtet.
Warnung
Warnung
Um das Blockieren legitimen Datenverkehrs und die Unterbrechung von Netzwerkdiensten zu vermeiden, lassen Sie eine Regel im Erkennungsmodus, wenn sie konfiguriert werden muss. Schalten Sie eine Regel erst nach der Konfiguration und dem Testen in den Verhinderungsmodus.

Ereignisse zur Eindringungsprävention

Standardmäßig sammelt Server- und Workload Protection Firewall- und Intrusion-Prevention-Ereignisprotokolle von den Agenten bei jedem Heartbeat. Sobald sie von Server- und Workload Protection gesammelt wurden, werden die Ereignisprotokolle für einen konfigurierbaren Zeitraum aufbewahrt. Die Standardeinstellung beträgt eine Woche. Sie können die Ereignisprotokollierung für einzelne Regeln nach Bedarf konfigurieren. (Siehe Ereignisprotokollierung für Regeln konfigurieren.)
Das Taggen von Ereignissen kann Ihnen helfen, Ereignisse zu sortieren. Sie können Tags manuell auf Ereignisse anwenden oder sie automatisch taggen. Sie können auch die automatische Tagging-Funktion verwenden, um mehrere Ereignisse zu gruppieren und zu kennzeichnen. Für Weitere Informationen zum Taggen von Ereignissen siehe Tags anwenden, um Ereignisse zu identifizieren und zu gruppieren.

Unterstützung für sichere Verbindungen

Das Modul zur Eindringungserkennung unterstützt die Überprüfung von Paketen über sichere Verbindungen. Siehe Überprüfung des TLS-Datenverkehrs.

Kontexte

Kontexte sind eine leistungsstarke Methode, um je nach Netzwerkumgebung des Computers unterschiedliche Sicherheitsrichtlinien zu implementieren. In der Regel verwenden Sie Kontexte, um Richtlinien zu erstellen, die je nach Standort des Computers (im Büro oder unterwegs) unterschiedliche Firewall- und Regeln zum Eindringschutz auf Computer (in der Regel mobile Laptops) anwenden.
Um den Standort eines Computers zu bestimmen, untersuchen Kontexte die Art der Verbindung des Computers zu seinem Domänencontroller. Für weitere Informationen siehe Kontexte für Richtlinien definieren.

Schnittstellen-Tagging

Sie können Schnittstellentypen verwenden, wenn Sie Firewall- oder Regeln zum Eindringschutz einer bestimmten Schnittstelle zuweisen müssen, wenn ein Computer über mehrere Netzwerkschnittstellen verfügt. Standardmäßig werden Firewall- und Regeln zum Eindringschutz allen Schnittstellen auf einem Computer zugewiesen. Um beispielsweise spezielle Regeln nur auf die drahtlose Netzwerkschnittstelle anzuwenden, verwenden Sie Schnittstellentypen, um dies zu erreichen. Weitere Informationen finden Sie unter Richtlinie für mehrere Schnittstellen konfigurieren.