Ansichten:

Konfigurieren und verwalten Sie die Einstellungen des Moduls zur Eindringungsprävention.

Wichtig
Wichtig
  • Richtlinien, Bedrohungsprävention und das Eindringungsschutzmodul sind 'vorab veröffentlichte' Funktionen und gelten nicht als offizielle Version. Lesen Sie den Haftungsausschluss für Vorabversionen vor der Verwendung der Funktion.
  • Diese Funktionen sind nicht in allen Regionen verfügbar.
  • Bestimmte Einstellungen in der Eindringungsprävention erfordern die Zuweisung zusätzlicher Credits, wenn die Richtlinie auf Ihre Endpunkte angewendet wird.
  • Trend Micro veröffentlicht regelmäßig neue Regeln zum Eindringschutz. Neue Regeln können in der Konsole erscheinen, bevor Ihre Agenten das neue Regelset automatisch aktualisieren. Sie können die Agenten manuell zwingen, die Regeln zu aktualisieren, indem Sie Änderungen an der Richtlinienkonfiguration vornehmen.
  • Intrusion Prevention verwendet IP-Listen zur Konfiguration von IP-Adresse-Ausschlüssen. Konfigurieren Sie IP-Listen in den Richtlinienressourcen, bevor Sie Intrusion Prevention konfigurieren.
  • Das Navigieren zwischen den Sicherheitsmodulen oder das Verlassen von Richtlinieneinstellungen verwirft alle nicht gespeicherten Änderungen. Um den Verlust Ihrer Arbeit zu vermeiden, klicken Sie immer auf Speichern, bevor Sie zu einem anderen Bereich in der Konsole wechseln.
Die Eindringungsprävention schützt Ihre Computer vor bekannten und Zero-Day-Sicherheitslücken sowie vor SQL-Injection-Angriffen, Cross-Site-Scripting-Angriffen und anderen Schwachstellen in Webanwendungen. Sie können Empfehlungseinstellungen verwenden, um Endpunkt-Agenten zu ermöglichen, Regeln dynamisch basierend auf Ihrer Sicherheitsumgebung anzuwenden.

Prozedur

  1. Um Ihre Endpunkte mit Eindringungsschutz zu schützen, wählen Sie Aktivieren.
    Hinweis
    Hinweis
    Wenn Sie den Eindringschutz aktivieren, könnten die Regeln zum Eindringschutz ausgeblendet sein. Klicken Sie auf Display rule settings unter Rule status and configuration, um die Regeln zum Eindringschutz anzuzeigen.
  2. Wenn Sie bewerten möchten, wie die Intrusion Detection-Regeln ausgelöst werden, bevor Ereignisse auf Endpunkten blockiert werden, wählen Sie Detect only mode unter Intrusion prevention mode override.
    Hinweis
    Hinweis
    Nach der Bewertung der erkannten Ereignisse können Sie die Modus-Einstellungen für einzelne Regeln zum Eindringschutz manuell ändern, um sie an Ihre betrieblichen Anforderungen anzupassen.
  3. Konfigurieren Sie Recommendation settings.
    Empfehlungseinstellungen steuern, welche Regeln zum Eindringschutz von Agenten angewendet werden, wenn Ihre Endpunkte überwacht werden.
    • Use Recommendation Scan to dynamically apply rules to each endpoint: Erlauben Sie Agenten, den Empfehlungsscan auszuführen und empfohlene Regeln dynamisch auf jeden Endpunkt anzuwenden. Der Empfehlungsscan analysiert Ihre Sicherheitsumgebung und den Kontext für jeden Endpunkt, sodass Agenten bestimmen können, welche Regeln zum Eindringschutz mit dem Dynamisch-Status ausgelöst und Maßnahmen ergriffen werden sollen.
    • Apply Intrusion Prevention Core ruleset: Löst Aktionen bei Regeln zum Eindringschutz aus, die Teil der Core und Essential Regelsets sind. Agenten können Aktionen bei jeder Kern- oder Basisregel auslösen, die im Rule status and configuration nicht auf den Status Nie gesetzt ist.
    • Apply Intrusion Prevention rules you have configured to "Always" status: Löst nur aus und führt Aktionen bei einer Intrusion-Prevention-Regel aus, wenn Sie das Status der Regel in der Rule status and configuration-Tabelle auf Always applied ändern.
    Wichtig
    Wichtig
    Use Recommendation Scan to dynamically apply rules to each endpoint unterstützt nur Endpunkte mit Server- und Workload Protection-Funktionen. Wenn es auf Endpunkte mit Standard-Endpunktsicherheitsfunktionen angewendet wird, wendet der Agent nur das Core-Regelwerk an. Unterstützung für Standard-Endpunktsicherheit kommt bald.
    Use Recommendation Scan to dynamically apply rules to each endpoint ist Teil der Advanced Server & Workload Protection-Funktion. Wenn Sie diese Einstellung auswählen, werden Credits basierend auf der Anzahl der unterstützten Endpunkte zugewiesen, die der Richtlinie zugeordnet sind.
  4. Verwalten Rule status and configuration.
    Anzeigen der Details zur Eindringungspräventionsregel und Verwalten des Regelstatus.
    1. Wenn die Regeliste ausgeblendet ist, klicken Sie auf Display rule settings, um die Regeliste anzuzeigen.
    2. Suchen Sie die Regel, die Sie konfigurieren möchten.
      Verwenden Sie die Suche und Filter, um die Regel zu finden, die Sie verwalten möchten. Klicken Sie auf das Spalten anpassen-Symbol (columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg), um zu verwalten, welche Tabellenspalten sichtbar sind.
      Um mehr Details zu einer Regel anzuzeigen, klicken Sie auf den Regelname. Um mehr Details über die überwachte Anwendung anzuzeigen, klicken Sie auf den Anwendungstyp.
    3. Konfigurieren Sie den Regelstatus.
      • Dynamisch: Agenten können die Regel zur Eindringungsprävention anwenden, um Sicherheitsereignisse auszulösen und Maßnahmen zu ergreifen, abhängig von Ihren Empfehlungseinstellungen. Dynamisch ist die Standardeinstellung. Sie müssen den Regelstatus manuell ändern, wenn Sie eine Regel auf Immer oder Nie setzen möchten.
      • Immer: Agenten lösen die Regel zur Eindringungsprävention aus und führen Aktionen unabhängig von Ihren Empfehlungseinstellungen aus. Sie können bis zu 350 Regeln mit dem Status "immer angewendet" konfigurieren.
      • Nie: Agenten lösen die Regel zur Eindringungserkennung nicht aus und ergreifen keine Maßnahmen, unabhängig von Ihren Empfehlungseinstellungen.
      Wichtig
      Wichtig
      Das Anwenden von Regeln zum Eindringschutz, die Teil des Erweitert-Regelsatzes sind, erfordert die Aktivierung der Advanced Server & Workload Protection-Funktion. Erweitert-Regeln gelten für Agenten mit sowohl Server- & Workload Protection als auch Standard-Endpunkt-Schutzfunktionen. Gutschriften werden basierend auf der Anzahl der Endpunkte zugewiesen, die der Richtlinie zugeordnet sind.
  5. Um vertrauenswürdige IP-Adressen von Intrusion-Prevention-Scans und -Überwachungen auszuschließen, wählen Sie eine IP-Liste für IP address exclusions aus.
    Sie können IP-Listen in den Richtlinienressourcen erstellen und konfigurieren. Für weitere Informationen siehe IP-Listen.