檢視次數:

配置和管理入侵防護模組設定。

重要
重要
  • 政策、安全威脅防護和入侵防護模組是「預發布」功能,尚未被視為正式版本。在使用此功能前,請查看預發布免責聲明
  • 這些功能在所有地區均不可用。
  • 在將政策應用於您的端點時,入侵防護中的某些設定需要分配額外的點數。
  • 趨勢科技定期發布新的入侵防護規則。新的規則可能會在您的代理程式自動更新新的規則集之前出現在控制台上。您可以透過更改政策配置手動強制代理程式更新規則。
  • 入侵防護使用 IP 清單來配置 IP 位址排除。在配置入侵防護之前,請在策略資源中配置 IP 清單
  • 在安全模組之間導航或離開「策略設定」會丟棄任何未儲存的變更。為避免遺失您的工作,請在導航至主控台的其他位置資訊前,務必點擊「儲存」
入侵防護保護您的電腦防護免受已知和零日弱點攻擊,以及防範SQL注入攻擊、跨站腳本攻擊和其他網頁應用程式弱點。您可以使用建議設定,允許端點代理根據您的安全環境動態應用規則。

步驟

  1. 若要使用入侵防護來保護您的端點,請選擇「啟動」
    注意
    注意
    當您啟用入侵防護時,入侵防護規則可能會被隱藏。點擊「Rule status and configuration」下的「Display rule settings」以查看入侵防護規則。
  2. 如果您想在阻止端點上的事件之前評估入侵偵測規則如何觸發,請在「Intrusion prevention mode override」下選擇「Detect only mode」
    注意
    注意
    在評估檢測到的事件後,您可以手動更改個別入侵防護規則的「模式」設定,以適當符合您的操作需求。
  3. 配置「Recommendation settings」
    建議設定控制代理在監控您的端點時應用哪些入侵防護規則。
    • Use Recommendation Scan to dynamically apply rules to each endpoint:允許代理執行建議掃瞄,並動態應用推薦規則到每個端點。建議掃瞄會分析您的安全環境和每個端點的上下文,允許代理決定觸發哪些具有「Dyanmic」狀態的入侵防護規則並採取行動。
    • Apply Intrusion Prevention Core ruleset:觸發並對屬於「Core」「Essential」規則集的入侵防護規則採取行動。代理可以觸發並對「Rule status and configuration」表中未設置為「永不」狀態的任何核心或基本規則採取行動。
    • Apply Intrusion Prevention rules you have configured to "Always" status:只有當您在「Rule status and configuration」表中將規則的「狀態」更改為「Always applied」時,才會觸發並執行入侵防護規則的操作。
    重要
    重要
    「Use Recommendation Scan to dynamically apply rules to each endpoint」 僅支援具有 Server & Workload Protection 功能的端點。具有標準端點安全功能的端點適用「Core」 規則集。對標準端點安全的支援即將推出。
    「Use Recommendation Scan to dynamically apply rules to each endpoint」「Advanced Server & Workload Protection」 功能的一部分。選擇此設定會根據指派至政策的受支援端點數量分配點數。
  4. 管理「Rule status and configuration」
    查看入侵防護規則詳細資訊並管理規則狀態。
    1. 如果規則列表被隱藏,請點擊「Display rule settings」以顯示規則列表。
    2. 定位您要設定的規則。
      使用搜尋和篩選器來找到您想要管理的規則。點擊「自訂欄」圖示(columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg)以管理哪些表格欄位可見。
      若要查看有關規則的更多詳細資訊,請點擊規則名稱。若要查看有關受監控應用程式的更多詳細資訊,請點擊應用程式類型。
    3. 配置下列規則狀態。
      • 動態:代理可能會根據您的建議設定應用入侵防護規則,以觸發並對安全事件採取行動。動態是預設設定。如果您想將規則設為「Always」「永不」,則必須手動更改規則狀態。
      • Always:代理程式會觸發並執行入侵防護規則,無論您的建議設定為何。您可以配置最多 350 條規則,並始終保持應用狀態。
      • 永不:無論您的建議設定如何,代理程式都不會觸發並採取入侵防護規則的行動。
      重要
      重要
      套用屬於「進階」規則集的入侵防護規則需要啟用「Advanced Server & Workload Protection」功能。「進階」規則適用於具有Server & Workload Protection和Standard Endpoint Protection功能的代理。根據指派至政策的端點數量分配點數。
  5. 要從入侵防護掃瞄和監控中排除受信任的 IP 位址,請為「IP address exclusions」選擇一個 IP 清單。
    您可以在策略資源中建立和配置 IP 清單。欲了解詳細資訊,請參閱 IP 清單