入侵防護

步驟

1. 若要使用入侵防護來保護您的端點，請選擇「啟動」。

   注意 當您啟用入侵防護時，入侵防護規則可能會被隱藏。點擊「Rule status and configuration」下的「Display rule settings」以查看入侵防護規則。

2. 如果您想在阻止端點上的事件之前評估入侵偵測規則如何觸發，請在「Intrusion prevention mode override」下選擇「Detect only mode」。

   注意 在評估檢測到的事件後，您可以手動更改個別入侵防護規則的「模式」設定，以適當符合您的操作需求。

3. 配置「Recommendation settings」。
   建議設定控制代理在監控您的端點時應用哪些入侵防護規則。
   • Use Recommendation Scan to dynamically apply rules to each endpoint：允許代理執行推薦掃瞄並動態應用推薦規則到每個端點。推薦掃瞄分析您的安全環境和每個端點的上下文，允許代理決定觸發並採取行動的入侵防護規則，其狀態為「動態」。
   • Apply Intrusion Prevention Core ruleset：觸發並對屬於「Core」和「Essential」規則集的入侵防護規則採取行動。代理可以觸發並對「Rule status and configuration」表中未設置為「永不」狀態的任何核心或基本規則採取行動。
   • Apply Intrusion Prevention rules you have configured to "Always" status：只有當您在「Rule status and configuration」表中將規則的「狀態」更改為「Always applied」時，才會觸發並執行入侵防護規則的操作。

   重要 「Use Recommendation Scan to dynamically apply rules to each endpoint」 僅支援具有 Server & Workload Protection 功能的端點。如果應用於具有標準端點安全功能的端點，代理程式僅應用 「Core」 規則集。對標準端點安全的支援即將推出。 「Use Recommendation Scan to dynamically apply rules to each endpoint」 是 「Advanced Server & Workload Protection」 功能的一部分。選擇此設定會根據指派至政策的受支援端點數量分配點數。

4. 管理「Rule status and configuration」。
   查看入侵防護規則詳細資訊並管理規則狀態。
   1. 如果規則列表被隱藏，請點擊「Display rule settings」以顯示規則列表。
   2. 定位您要設定的規則。
      使用搜尋和篩選器來找到您想要管理的規則。點擊「自訂欄」圖示()以管理哪些表格欄位可見。

      若要查看有關規則的更多詳細資訊，請點擊規則名稱。若要查看有關受監控應用程式的更多詳細資訊，請點擊應用程式類型。
   3. 配置下列規則狀態。
      • 動態：代理可能會根據您的建議設定應用入侵防護規則，以觸發並對安全事件採取行動。動態是預設設定。如果您想將規則設為「Always」或「永不」，則必須手動更改規則狀態。
      • Always：代理程式會觸發並執行入侵防護規則，無論您的建議設定為何。您可以配置最多 350 條規則，並始終保持應用狀態。
      • 永不：無論您的建議設定如何，代理程式都不會觸發並採取入侵防護規則的行動。

      重要 套用屬於「進階」規則集的入侵防護規則需要啟用「Advanced Server & Workload Protection」功能。「進階」規則適用於具有Server & Workload Protection和Standard Endpoint Protection功能的代理。根據指派至政策的端點數量分配點數。

5. 要從入侵防護掃瞄和監控中排除受信任的 IP 位址，請為「IP address exclusions」選擇一個 IP 清單。
   您可以在策略資源中建立和配置 IP 清單。欲了解詳細資訊，請參閱 IP 清單。