請執行以下各部分中的任務,以配置和使用入侵防護規則。
如需入侵防護模組的防護總覽,請參閱使用入侵防護封鎖利用嘗試。
入侵防護規則清單 
政策頁面提供入侵防護規則列表。您可以搜尋入侵防護規則,並開啟和編輯規則屬性。在列表中,規則按應用程式類型分組,某些規則屬性顯示在不同的欄位中。
 |
秘訣「TippingPoint」欄包含相應的趨勢科技 TippingPoint 規則 ID。在入侵防護的高級搜尋中,您可以搜尋 TippingPoint 規則 ID。您也可以在政策和電腦防護編輯器中分配的入侵防護規則列表中查看
TippingPoint 規則 ID。
|
要查看清單,點選Policies,然後在Common Objects/Rules下方點選入侵防護規則。
入侵防護授權類型
「規則可用性」欄提供有關該規則可用使用授權類型的信息。Endpoint & Workload 表示此規則可以在「端點」和「工作負載」授權下分配。Workload 規則可用性表示該規則只能在使用授權類型為「工作負載」時分配。
如果所有指派的規則都具有 Endpoint & Workload 規則可用性,則使用授權類型為 Endpoint;如果至少有一個指派的規則具有工作負載規則可用性,則使用授權類型為 Workload。
查看有關入侵防護規則的資訊
入侵防護規則的屬性包括有關規則和其防護的漏洞的資訊。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
一般資訊
- Name:入侵防護規則的名稱。
- Description:入侵防護規則的描述。
- Minimum Agent/Appliance Version:支援此入侵防護規則所需的代理程式最低版本。
詳細資訊
點擊 New (
) 或 Properties (
) 會顯示 Intrusion Prevention Rule Properties 視窗。
) 或 Properties () 會顯示 Intrusion Prevention Rule Properties 視窗。 |
注意趨勢科技的入侵防護規則無法直接通過Server & Workload Security保護編輯。相反地,如果入侵防護規則需要(或允許)配置,這些配置選項將會在Configuration標籤上可用。您自行編寫的自訂入侵防護規則將可編輯,這種情況下Rules標籤將會顯示。
|
-
Application Type:此入侵防護規則所歸類的應用程式類型。
秘訣
您可以從此面板編輯應用程式類型。當您從這裡編輯應用程式類型時,變更將應用到所有使用該類型的安全元素。 -
Priority:規則的優先級別。優先級較高的規則會在優先級較低的規則之前應用。
-
Severity:設定規則的嚴重性等級不會影響規則的實施或應用。嚴重性等級在查看入侵防護規則列表時可以作為排序標準。更重要的是,每個嚴重性等級都與一個嚴重性值相關聯;此值會乘以電腦防護的資產價值來確定事件的排名。(請參閱。)
-
CVSS Score:根據國家弱點資料庫評估弱點嚴重程度的指標。
識別(僅限趨勢科技規則)
- Type:可以是 Smart(包含一個或多個已知和未知(零日)弱點)、Exploit(特定的漏洞利用,通常基於簽章),或 Vulnerability(特定的弱點,可能存在一個或多個漏洞利用)。
- Issued:規則發布的日期。這不表示規則下載的時間。
- Last Updated:規則上次被修改的時間,不論是本地修改還是安全更新下載期間。
- Identifier:規則的唯一識別標籤。
查看有關相關弱點的資訊(僅限趨勢科技規則)
趨勢科技提供的規則可以包含有關該規則所保護的弱點的信息。在適用的情況下,會顯示通用弱點評分系統 (CVSS)。(有關此評分系統的信息,請參閱 國家弱點資料庫 的 CVSS 頁面。)
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選弱點標籤。
指派和未指派規則
要在代理掃描期間應用入侵防護規則,您需要將它們指派到適當的政策和電腦。當弱點已被修補且不再需要該規則時,您可以未指派該規則。
如果您無法從電腦防護編輯器中未指派入侵防護規則,這可能是因為這些規則目前已在政策中指派。必須使用政策編輯器移除在政策層級指派的規則,無法在電腦層級移除。
當您對政策進行更改時,會影響所有使用該政策的電腦。例如,當您從政策中未指派一條規則時,您會將該規則從所有受該政策保護的電腦中移除。若要繼續將該規則應用於其他電腦,請為該組電腦創建一個新政策。(請參閱
政策、繼承和覆蓋。)
|
秘訣要查看規則分配到的政策和電腦,請參閱規則屬性的分配到標籤。
|
步驟
- 前往Policies頁面,右鍵點選要配置的策略,然後點選詳細資訊。
- 點選 。分配給該政策的規則列表顯示在 Assigned Intrusion Prevention Rules 列表中。
- 在 Assigned Intrusion Prevention Rules 下,點選 Assign/Unassign。
- 要指派規則,請選取規則旁邊的核取方塊。此外,還有一組入侵防護規則,稱為核心端點和工作負載規則,以確保防護已知的弱點問題。這些規則適用於所有許可類型,並且可以輕鬆地一起分配和取消分配:要指派規則,請選擇Rule Selection,然後點選工具列中的Select all Core Endpoint & Workload Rules按鈕。
- 要未指派規則,取消選中規則旁邊的複選框。此外,還有一組入侵防護規則,稱為核心端點和工作負載規則,以確保防護已知的弱點問題。這些規則適用於所有許可類型,並且可以輕鬆地一起分配和取消分配:要未指派規則,請選擇Rule Selection,然後點選工具列中的Deselect all Core Endpoint & Workload Rules按鈕。
- 點選 確定。
自動指派核心端點和工作負載規則
步驟
- 在Policies頁面上,右鍵點選要配置的策略,然後點選詳細資訊。
- 點選 。分配給該政策的規則列表顯示在已分配的入侵防護規則列表中。
- 將 Implement core Endpoint & Workload rules automatically 切換為是。
- 點選 儲存。
接下來需執行的動作
|
注意我們建議您使用Endpoint license開啟此功能,並使用Workload license關閉此功能並使用推薦掃描。
|
自動指派更新所需的規則
安全更新可能包括新的或更新的應用程式類型和入侵防護規則,這些規則需要指派次要的入侵防護規則。Server & Workload Security保護 可以自動指派這些規則(如果需要)。您可以在政策或電腦防護屬性中啟用這些自動指派。
步驟
- 前往政策頁面,右鍵點選要配置的政策,然後點選詳細資訊。
- 點選 。
- 要啟用自動分配,請在Rule Updates區域中選擇是。
- 點選 確定。
為規則配置事件記錄
配置是否記錄規則的事件,以及是否在日誌中包含封包資料。
|
注意Server & Workload Security保護 可以在入侵防護事件中顯示 X-Forwarded-For 標頭,當它們在封包資料中可用時。當代理位於負載平衡器或 Proxy 後面時,這些資訊可能會很有用。X-Forwarded-For
標頭資料會顯示在事件的屬性視窗中。要包含標頭資料,請在日誌中包含封包資料。此外,必須指派規則 1006540 "啟用 X-Forwarded-For HTTP 標頭記錄"。
|
由於每次規則觸發事件時記錄所有封包資料是不切實際的,Server & Workload Security保護 只會在指定的時間範圍內第一次發生事件時記錄資料。預設時間為五分鐘,但您可以使用政策的「在時間範圍內僅記錄一個封包的時間範圍」屬性來更改時間範圍,該屬性位於進階網路引擎設定中。(請參閱
進階網路引擎選項。)
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 在General標籤上,前往Events區域並選擇所需的選項:
-
若要關閉該規則的日誌記錄,請選擇Disable Event Logging。
-
要在封包被丟棄或已封鎖時記錄事件,請選擇Generate Event on Packet Drop。
-
若要在日誌條目中包含封包資料,請選擇Always Include Packet Data。
-
要記錄規則檢測到的數據包之前和之後的幾個數據包,請選擇Enable Debug Mode。僅在技術支援中心指示您使用調試模式時才使用。
-
- 此外,要在日誌中包含封包資料,規則所屬的策略必須允許規則捕獲封包資料:
- 在政策頁面中,打開已分配規則的政策。
- 點選 。
- 在Event Data區域中,選擇是。
產生警報
當入侵防護規則觸發事件時生成警報。
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選選項標籤,然後在警訊區域選擇開啟。
- 點選 確定。
設定配置選項(僅限趨勢科技規則)
趨勢科技提供的一些入侵防護規則具有一個或多個配置選項,例如標頭長度、HTTP允許的擴展名或cookie長度。某些選項需要您進行配置。如果您在未設置所需選項的情況下指派了一個規則,系統會生成一個警報,通知您有需要設置的選項。(這也適用於通過安全更新下載並自動應用的任何規則。)
具有配置選項的入侵防護規則會在入侵防護規則列表中顯示,並在其圖標上帶有一個小齒輪
.
|
注意您自己編寫的自訂入侵防護規則包括一個Rules標籤,您可以在其中編輯規則。
|
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選Configuration標籤。
- 配置屬性,然後點選確定。
排程活動時間
安排入侵防護規則啟用的時間。僅在排定時間內啟用的入侵防護規則會在入侵防護規則頁面中顯示其圖示上有一個小時鐘
.
|
注意使用基於代理的保護時,排程使用與端點作業系統相同的時區。以下程序中執行的配置會影響所有政策。
|
如需有關為一個政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選選項標籤。
- 在Schedule區域中,選擇New或選擇一個頻率。
- 根據需要編輯排程。
- 點選確定。
從建議中排除
從建議掃描的規則建議中排除入侵防護規則。
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選選項標籤。
- 在Recommendations Options區域中,選擇Exclude from Recommendations。
- 點選 確定。
設定規則的上下文
設定套用規則的情境。
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選選項標籤。
- 在Context區域中,選擇New或選擇一個上下文。
- 根據需要編輯內容。
- 點選 確定。
覆寫規則的行為模式
將入侵防護規則的行為模式設置為偵測,以測試新規則。在偵測模式下,該規則會創建一個以「僅偵測:」開頭的日誌條目,並且不會干擾流量。一些入侵防護規則僅設計為在偵測模式下運行。對於這些規則,您無法更改行為模式。
|
注意如果您關閉規則的日誌記錄,無論行為模式如何,規則活動都不會被記錄。
|
如需有關行為模式的詳細資訊,請參閱 使用行為模式測試規則。
以下程序中執行的配置會影響所有政策。如需有關為單一政策配置規則的資訊,請參閱 覆蓋規則和應用程式類型配置。
步驟
- 點選 規則。
- 選擇一個規則並點選Properties。
- 選擇Detect Only。
覆寫規則和應用程式類型配置
從電腦防護或政策編輯器中,您可以編輯入侵防護規則,使您的更改僅適用於該政策或電腦防護的上下文中。您也可以編輯規則,使更改在全域範圍內適用,從而影響分配了該規則的其他政策和電腦防護。同樣地,您可以為單一政策或電腦防護或全域範圍配置應用程式類型。
步驟
- 前往Policies頁面,右鍵點選要配置的策略,然後點選詳細資訊。
- 點選 入侵防護。
- 若要編輯規則,請右鍵點選該規則並選擇以下命令之一:
-
Properties:僅編輯此政策的規則。
-
Properties (Global):全域編輯規則,適用於所有政策和電腦。
-
- 若要編輯規則的應用程式類型,請右鍵點選該規則並選擇以下其中一個命令:
-
Application Type Properties:僅編輯政策的應用程式類型。
-
Application Type Properties (Global):全域編輯應用程式類型,適用於所有政策和電腦。
-
- 點選 確定。
接下來需執行的動作
|
秘訣當您選取規則並點選屬性時,您僅在編輯您正在編輯的政策的規則。
|
|
注意您不能將一個埠指派給超過八種應用程式類型。如果超過,該埠上的規則將無法運作。
|
匯出和匯入規則
您可以將一個或多個入侵防護規則匯出到 XML 或 CSV 檔案,並從 XML 檔案匯入規則。
步驟
- 點選 。
- 要匯出一個或多個規則,請選擇它們並點選或。
- 要匯出所有規則,請點選 或 。
- 若要匯入規則,請點選,並按照精靈上的指示進行操作。