Ansichten:

Konfigurieren und verwalten Sie die Einstellungen des Moduls zur Eindringungsprävention.

Wichtig
Wichtig
  • Die Verwaltung von Sicherheitseinstellungen für Standard Endpoint Protection und Server- & Workload Protection-Funktionen mit Endpoint Security Policies ist ein "Vorabveröffentlichungs"-Feature und wird nicht als offizielle Veröffentlichung betrachtet. Bitte lesen Sie den Vorabveröffentlichungshinweis, bevor Sie das Feature verwenden.
  • Einige Funktionen in der Eindringungserkennung sind Teil von Endpoint Security Pro. Endpoint Security Pro erfordert 300 Credits pro Endpunkt:
    • Empfehlungsscan: Die Anwendung der Funktion auf Endpunkte mit Server- und Workload Protection erfordert Endpoint Security Pro.
    • Erweiterte Regeln zum Eindringschutz: Das Festlegen des Status einer Regel, die zum Erweitert-Regelsatz gehört, auf Immer erfordert Endpoint Security Pro. Dies umfasst Endpunkte mit Standard-Endpunktschutz und Server- & Workload Protection.
  • Von Server & Workload Protection verwaltete Endpoints können individuelle Intrusion Prevention-Überschreibungen in Server & Workload ProtectionComputer konfiguriert haben. Abhängig von Ihren Überschreibungseinstellungen kann die Kreditnutzung für diese Endpoints Endpoint Security Pro-Funktionen umfassen.
    Um schnell alle Überschreibungen der Eindringungserkennung zu entfernen, siehe Überschreibungen der Endpunktsicherheitspolitik.
  • Trend Micro veröffentlicht regelmäßig neue Regeln zum Eindringschutz. Neue Regeln können in der Konsole erscheinen, bevor Ihre Agenten das neue Regelset automatisch aktualisieren. Sie können die Agenten manuell zwingen, die Regeln zu aktualisieren, indem Sie Änderungen an der Richtlinienkonfiguration vornehmen.
  • Intrusion Prevention verwendet IP-Listen zur Konfiguration von IP-Adresse-Ausschlüssen. Konfigurieren Sie IP-Listen in den Richtlinienressourcen, bevor Sie Intrusion Prevention konfigurieren.
  • Das Navigieren zwischen den Sicherheitsmodulen oder das Verlassen von Richtlinieneinstellungen verwirft alle nicht gespeicherten Änderungen. Um den Verlust Ihrer Arbeit zu vermeiden, klicken Sie immer auf Speichern, bevor Sie zu einem anderen Bereich in der Konsole wechseln.
Die Eindringungsprävention schützt Ihre Computer vor bekannten und Zero-Day-Sicherheitslücken sowie vor SQL-Injection-Angriffen, Cross-Site-Scripting-Angriffen und anderen Schwachstellen in Webanwendungen. Sie können Empfehlungseinstellungen verwenden, um Endpunkt-Agenten zu ermöglichen, Regeln dynamisch basierend auf Ihrer Sicherheitsumgebung anzuwenden.

Prozedur

  1. Um Ihre Endpunkte mit Eindringungsschutz zu schützen, wählen Sie Aktivieren.
    Hinweis
    Hinweis
    Wenn Sie den Eindringschutz aktivieren, könnten die Regeln zum Eindringschutz ausgeblendet sein. Klicken Sie auf Display rule settings unter Rule status and configuration, um die Regeln zum Eindringschutz anzuzeigen.
  2. Wenn Sie bewerten möchten, wie die Intrusion Detection-Regeln ausgelöst werden, bevor Ereignisse auf Endpunkten blockiert werden, wählen Sie Detect only mode unter Intrusion prevention mode override.
    Hinweis
    Hinweis
    Nach der Bewertung der erkannten Ereignisse können Sie die Modus-Einstellungen für einzelne Regeln zum Eindringschutz manuell ändern, um sie an Ihre betrieblichen Anforderungen anzupassen.
  3. Konfigurieren Sie Recommendation settings.
    Empfehlungseinstellungen steuern, welche Regeln zum Eindringschutz von Agenten angewendet werden, wenn Ihre Endpunkte überwacht werden.
    • Use Recommendation Scan to dynamically apply rules to each endpoint: Erlauben Sie Agenten, den Empfehlungsscan auszuführen und empfohlene Regeln dynamisch auf jeden Endpunkt anzuwenden. Der Empfehlungsscan analysiert Ihre Sicherheitsumgebung und den Kontext für jeden Endpunkt, sodass Agenten bestimmen können, welche Regeln zum Eindringschutz mit dem Dynamisch-Status ausgelöst und Maßnahmen ergriffen werden sollen.
    • Apply Intrusion Prevention Core ruleset: Löst Aktionen bei Regeln zum Eindringschutz aus, die Teil der Core und Essential Regelsets sind. Agenten können Aktionen bei jeder Kern- oder Basisregel auslösen, die im Rule status and configuration nicht auf den Status Nie gesetzt ist.
    • Apply Intrusion Prevention rules you have configured to "Always" status: Führt nur Aktionen bei einer Intrusion Prevention-Regel aus, wenn Sie die Status der Regel in der Rule status and configuration-Tabelle auf Always applied ändern.
    Wichtig
    Wichtig
    • Empfehlungsscan unterstützt nur Agenten mit Server- und Workload Protection. Agenten mit Standard-Endpunkt-Schutz wenden nur das Core-Regelset an.
    • Empfehlungsdurchsuchung ist ein Endpoint Security Pro-Feature. Endpoint Security Pro erfordert 300 Credits pro unterstütztem Endpunkt. Standard-Endpunkt-Schutz-Endpunkte sind nicht in der Berechnung zur Aktivierung der Empfehlungsdurchsuchung enthalten.
  4. Verwalten Rule status and configuration.
    Anzeigen der Details zur Eindringungspräventionsregel und Verwalten des Regelstatus.
    1. Wenn die Regeliste ausgeblendet ist, klicken Sie auf Display rule settings, um die Regeliste anzuzeigen.
    2. Suchen Sie die Regel, die Sie konfigurieren möchten.
      Verwenden Sie die Suche und Filter, um die Regel zu finden, die Sie verwalten möchten. Klicken Sie auf das Spalten anpassen-Symbol (columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg), um zu verwalten, welche Tabellenspalten sichtbar sind.
      Um mehr Details zu einer Regel anzuzeigen, klicken Sie auf den Regelname. Um mehr Details über die überwachte Anwendung anzuzeigen, klicken Sie auf den Anwendungstyp.
    3. Konfigurieren Sie den Regelstatus.
      • Dynamisch: Agenten können die Regel zur Eindringungsprävention anwenden, um Sicherheitsereignisse auszulösen und Maßnahmen zu ergreifen, abhängig von Ihren Empfehlungseinstellungen. Dynamisch ist die Standardeinstellung. Sie müssen den Regelstatus manuell ändern, wenn Sie eine Regel auf Immer oder Nie setzen möchten.
      • Immer: Agenten lösen die Regel zur Eindringungsprävention aus und führen Aktionen unabhängig von Ihren Empfehlungseinstellungen aus. Sie können bis zu 350 Regeln mit dem Status "immer angewendet" konfigurieren.
      • Nie: Agenten lösen die Regel zur Eindringungserkennung nicht aus und ergreifen keine Maßnahmen, unabhängig von Ihren Empfehlungseinstellungen.
      Um den Status aller Erweitert-Regeln auf Dynamisch zu setzen, klicken Sie auf Set all Advanced rules to Dynamic.
      Wichtig
      Wichtig
      • Das erweiterte Regelwerk ist ein Endpoint Security Pro-Feature. Endpoint Security Pro ist erforderlich, wenn Sie den Status einer erweiterten Regel auf Immer setzen. Endpoint Security Pro benötigt 300 Credits pro unterstütztem Endpunkt sowohl für den Standard-Endpunktschutz als auch für Server- und Workload Protection.
      • Endpoint Security Pro ist für keine erweiterte Regelgruppe erforderlich, um Dynamisch oder Nie zu verwenden.
      • Set all Advanced rules to Dynamic setzt alle erweiterten Regeln mit dem Status Immer oder Nie auf den Standardwert Dynamisch zurück.
        Set all Advanced rules to Dynamic könnte Ihre Kreditnutzung verringern, wenn keine anderen Endpoint Security Pro-Funktionen aktiviert sind.
  5. Um vertrauenswürdige IP-Adressen von Intrusion-Prevention-Scans und -Überwachungen auszuschließen, wählen Sie eine IP-Liste für IP address exclusions aus.
    Sie können IP-Listen in den Richtlinienressourcen erstellen und konfigurieren. Für weitere Informationen siehe IP-Listen.