Ansichten:
Aktivieren Sie den Eindringschutz und überwachen Sie den Netzwerkverkehr auf Exploits im Erkennungsmodus. Wenn Sie mit der Zuweisung Ihrer Regeln zum Eindringschutz zufrieden sind, wechseln Sie in den Verhinderungsmodus.
Hinweis
Hinweis
Die Konfiguration Ihres Intrusion-Prevention-Systems (IPS) beeinflusst Systemressourcen wie die zentrale Verarbeitungseinheit (CPU) und den Arbeitsspeicher (RAM). Um die IPS-Leistung auf dem Agenten zu optimieren, siehe Leistungstipps für Intrusion Prevention.
Für einen Überblick über die Eindringungserkennung siehe Exploit-Versuche mit Eindringungserkennung sperren.

Intrusion Prevention im Erkennungsmodus aktivieren Übergeordnetes Thema

Aktivieren Sie die Eindringungserkennung und verwenden Sie den Erkennungsmodus zur Überwachung. Konfigurieren Sie die Eindringungserkennung mit den entsprechenden Richtlinien, um die Zielcomputer zu beeinflussen. Sie können auch einzelne Computer konfigurieren.
Für eine detailliertere Steuerung bei der Zuweisung von Regeln zum Eindringschutz können Sie den globalen Verhaltensmodus überschreiben und spezifische Regeln entweder zur Verhinderung oder Erkennung konfigurieren. Siehe Verhaltensmodus für eine Regel überschreiben.

Prozedur

  1. Navigieren Sie zu Computer or Policy editorIntrusion PreventionAllgemein.
  2. Für Konfiguration wählen Sie eine der folgenden Optionen aus:
  3. Wählen Sie Erkennen für Intrusion Prevention Behavior aus.
    Weitere Informationen zum Aktivieren der Intrusion Prevention für Container finden Sie unter Ihre Einstellungen zur Intrusion Prevention anwenden.
    Wenn die Verhaltenseinstellungen nicht verfügbar sind, kann Network Engine Mode auf Tap gesetzt werden. (Siehe Firewall-Regeln testen, bevor sie bereitgestellt werden.)
  4. Klicken Sie auf Save.

Automatisches Anwenden der Kern-Endpunkt- und Workload-Regeln aktivieren Übergeordnetes Thema

Server- und Workload Protection weist diesem Computer bei Regelaktualisierungen die grundlegenden Endpunkt- und Workload-Regeln zu. Allerdings bleiben manuell nicht zugewiesene Regeln unzugewiesen.
Trend Micro empfiehlt, diese Funktion zu aktivieren, wenn Sie die Endpoint license haben, aber diese Funktion zu deaktivieren und Empfehlungsdurchsuchungen mit der Workload license zu verwenden.

Prozedur

  1. Wählen Sie Ja für Implement core Endpoint & Workload rules automatically aus.
  2. Klicken Sie auf Save.

Test Eindringungsschutz Übergeordnetes Thema

Überprüfen Sie, ob der Eindringungsschutz ordnungsgemäß funktioniert, bevor Sie mit weiteren Maßnahmen fortfahren.

Prozedur

  1. Wenn Sie eine agentenbasierte Bereitstellung haben, stellen Sie sicher, dass Sie einen Computer mit einem laufenden Agenten haben.
  2. Deaktivieren Sie Web Reputation, um zu verhindern, dass es die Eindringungsprävention beeinträchtigt.
    1. In der Server- und Workload Protection-Konsole klicken Sie auf Computers.
    2. Doppelklicken Sie auf den Computer, auf dem Sie die Eindringungserkennung testen möchten.
    3. Klicken Sie auf Web Reputation.
    4. Wählen Sie Aus
  3. Schlechten Datenverkehr sperren:
    1. Klicken Sie auf Intrusion Prevention für den Computer.
    2. Wählen Sie auf der Registerkarte Allgemein Verhindern aus.
      Wenn Verhindern nicht verfügbar ist, setzen Sie Konfiguration auf Inherited (On).
  4. Weisen Sie die Testrichtlinie des European Institute for Computer Antivirus Research (EICAR) zu:
    1. Klicken Sie auf Intrusion Prevention für den Computer.
    2. Klicken Sie auf Assign/Unassign.
    3. Suche nach 1005924.
    4. Wählen Sie 1005924 - Restrict Download of EICAR Test File Over HTTP.
    5. Klicken Sie auf OK.
  5. Versuchen Sie, die EICAR-Datei herunterzuladen. Der Eindringungsschutz sollte Sie daran hindern, diese Datei herunterzuladen.
  6. Überprüfen Sie die Ereignisse zur Eindringungsprävention für den Computer:
    1. Wählen Sie Intrusion PreventionIntrusion Prevention Events für den Computer aus.
    2. Klicken Sie auf Get Events, um Ereignisse anzuzeigen, die seit dem letzten Heartbeat aufgetreten sind.
    3. Suchen Sie nach einem Ereignis mit 1005924 - Restrict Download of EICAR Test File Over HTTP als Grund. Das Vorhandensein dieses Ereignisses zeigt an, dass der Eindringungsschutz funktioniert.
  7. Setzen Sie Ihre Änderungen zurück, um Ihr System in den vorherigen Zustand zu versetzen:
    1. Aktivieren Sie Web Reputation.
    2. Setzen Sie die Option Verhindern oder Erkennen zurück.
    3. Entfernen Sie die EICAR-Richtlinie vom Computer.

Empfohlene Regeln anwenden Übergeordnetes Thema

Um die Leistung zu maximieren, weisen Sie nur die Regeln zum Eindringschutz zu, die Ihre Richtlinien und Computer benötigen. Verwenden Sie einen Empfehlungsdurchlauf, um eine Liste geeigneter Regeln zu erhalten. Obwohl Empfehlungsscans für einen bestimmten Computer durchgeführt werden, können Sie die Empfehlungen einer Richtlinie zuweisen, die der Computer verwendet. Sie können auch Server- und Workload Protection so konfigurieren, dass die Empfehlungen automatisch implementiert werden.

Prozedur

  1. Öffnen Sie die Eigenschaften des Computers.
  2. Klicken Sie auf der Registerkarte Allgemein unter Recommendations auf Scan for Recommendations.
    Die Ergebnisse des neuesten erweiterten Empfehlungsscans erscheinen auf der Allgemein-Registerkarte des Schutzmoduls für Eindringungsschutz, Integritätsüberwachung oder Protokollinspektion.
  3. Öffnen Sie die Richtlinie, der Sie die Regeln zuweisen möchten, und vervollständigen Sie die Regelzuweisungen (siehe Regeln manuell zuweisen).

Nächste Schritte

Nachdem Sie die Regeln zum Eindringschutz angewendet haben, überwachen Sie die Systemleistung und die Ereignisprotokolle des Eindringschutzes. Überwachen Sie die Nutzung von CPU, RAM und Netzwerk, um zu überprüfen, ob die Systemleistung weiterhin akzeptabel ist. Falls nicht, können Sie einige Einstellungen und Bereitstellungsaspekte anpassen, um die Leistung zu verbessern. (Siehe Leistungstipps für den Eindringschutz.)

Überprüfen Sie Eindringschutz-Ereignisse Übergeordnetes Thema

Überwachen Sie Ereignisse der Eindringungserkennung, um sicherzustellen, dass Regeln nicht mit legitimen Netzwerkverkehr übereinstimmen. Wenn eine Regel zu Fehlalarmen führt, können Sie die Regel aufheben. (Siehe Regeln zuweisen und aufheben.)

Prozedur

  • Um Ereignisse zur Eindringungserkennung anzuzeigen, klicken Sie auf Events & ReportsIntrusion Prevention Events.

Aktivieren Sie fail open für Paket- oder Systemausfälle Übergeordnetes Thema

Der Eindringschutz umfasst eine Netz-Engine, die Pakete möglicherweise sperrt, bevor Regeln zum Eindringschutz angewendet werden können. Dies könnte zu Leistungsproblemen führen. Sie können dieses Verhalten ändern, um Pakete zuzulassen, wenn System- oder interne Paketfehler auftreten. Weitere Informationen finden Sie unter fail open-Verhalten aktivieren.

Wechseln Sie in den Präventionsmodus Übergeordnetes Thema

Wenn Sie sicher sind, dass die Eindringungserkennung keine Fehlalarme auslöst, konfigurieren Sie Ihre Richtlinie so, dass die Eindringungserkennung im Präventionsmodus verwendet wird, um Regeln durchzusetzen und verwandte Ereignisse zu protokollieren.

Prozedur

  1. Navigieren Sie zu Computer or Policy editorIntrusion PreventionAllgemein.
  2. Wählen Sie Verhindern für Intrusion Prevention Behavior.
  3. Klicken Sie auf Save.

HTTP-Protokoll-Entschlüsselungsregel Übergeordnetes Thema

Die Regel zur HTTP-Protokoll-Dekodierung ist die wichtigste Regel im Webserver-Anwendungstyp. Diese Regel dekodiert den HTTP-Datenverkehr, bevor die anderen Regeln ihn überprüfen. Diese Regel ermöglicht es Ihnen auch, verschiedene Komponenten des Dekodierungsprozesses zu steuern.
Diese Regel ist erforderlich, wenn Sie eine der Web Application Common- oder Webserver Common-Regeln verwenden, die sie erfordern. Server- und Workload Protection weist diese Regel automatisch zu, wenn sie von anderen Regeln benötigt wird. Da jede Webanwendung unterschiedlich ist, sollte die Richtlinie, die diese Regel verwendet, für einen bestimmten Zeitraum im Erkennen-Modus ausgeführt werden, bevor sie in den Verhindern-Modus wechselt, um festzustellen, ob Konfigurationsänderungen erforderlich sind. Häufig sind Änderungen an der Liste der illegalen Zeichen erforderlich. Weitere Informationen zur Anpassung dieser Regel finden Sie in der Wissensdatenbank.

Regeln für Cross-Site-Scripting und generische SQL-Injektion Übergeordnetes Thema

Zwei der häufigsten Angriffe auf Anwendungsebene sind SQL-Injection und Cross-Site-Scripting (XSS). Cross-Site-Scripting- und SQL-Injection-Regeln fangen standardmäßig die meisten Angriffe ab, aber Sie müssen möglicherweise die Drop-Punktzahl für bestimmte Ressourcen anpassen, wenn sie zu Fehlalarmen führen.
Beide Regeln sind intelligente Filter, die eine benutzerdefinierte Konfiguration für Webserver erfordern. Wenn Sie Ausgaben von einem Web Application Vulnerability Scanner haben, sollten Sie diese Informationen bei der Anwendung des Schutzes nutzen. Wenn zum Beispiel das Benutzername-Feld auf der login.asp-Seite anfällig für SQL-Injection ist, stellen Sie sicher, dass die SQL-Injection-Regel so konfiguriert ist, dass sie diesen Parameter mit einer niedrigen Schwelle überwacht, um ihn zu blockieren.
Weitere Informationen finden Sie unter https://success.trendmicro.com/en-us/solution/ka-0003649