檢視次數:

配置和管理入侵防護模組設定。

重要
重要
  • 使用 Endpoint Security Policies 管理 Standard Endpoint Protection 和伺服器及 Workload Protection 功能的安全設定是一項「預發布」功能,尚未被視為正式發布。在使用此功能前,請查看預發布免責聲明
  • 入侵防護中的某些功能是「Endpoint Security Pro」的一部分。端點安全專業版每個端點需要 300 點數:
    • 推薦掃瞄:將此功能應用於具有 Server & Workload Protection 的端點需要 Endpoint Security Pro。
    • 進階入侵防護規則:將屬於「進階」規則集的任何規則的「狀態」設置為「永遠」需要 Endpoint Security Pro。這包括具有 Standard Endpoint Protection 和 Server & Workload Protection 的端點。
  • 由伺服器和 Workload Protection 管理的端點可能在「Server & Workload Protection」「Computers」中配置了個別的入侵防護覆蓋設定。根據您的覆蓋設定,這些端點的信用使用可能包括「Endpoint Security Pro」功能。
    若要快速移除任何入侵防護覆蓋,請參閱端點安全政策覆蓋
  • 趨勢科技定期發布新的入侵防護規則。新的規則可能會在您的代理程式自動更新新的規則集之前出現在控制台上。您可以透過更改政策配置手動強制代理程式更新規則。
  • 入侵防護使用 IP 清單來配置 IP 位址排除。在配置入侵防護之前,請在策略資源中配置 IP 清單
  • 在安全模組之間導航或離開「策略設定」會丟棄任何未儲存的變更。為避免遺失您的工作,請在導航至主控台的其他位置資訊前,務必點擊「儲存」
入侵防護保護您的電腦防護免受已知和零日弱點攻擊,以及防止SQL注入攻擊、跨站腳本攻擊和其他網路應用程式弱點。您可以使用推薦設定,允許端點代理根據您的安全環境動態應用規則。

步驟

  1. 若要使用入侵防護來保護您的端點,請選擇「啟動」
    注意
    注意
    當您啟用入侵防護時,入侵防護規則可能會被隱藏。點擊「Rule status and configuration」下的「Display rule settings」以查看入侵防護規則。
  2. 如果您想在阻止端點上的事件之前評估入侵偵測規則如何觸發,請在「Intrusion prevention mode override」下選擇「Detect only mode」
    注意
    注意
    在評估檢測到的事件後,您可以手動更改個別入侵防護規則的「模式」設定,以適當符合您的操作需求。
  3. 配置「Recommendation settings」
    建議設定控制代理在監控您的端點時應用哪些入侵防護規則。
    • Use Recommendation Scan to dynamically apply rules to each endpoint:允許代理執行推薦掃瞄並動態應用推薦規則到每個端點。推薦掃瞄分析您的安全環境和每個端點的上下文,允許代理決定觸發並採取行動的入侵防護規則,其狀態為「動態」
    • Apply Intrusion Prevention Core ruleset:觸發並對屬於「Core」「Essential」規則集的入侵防護規則採取行動。代理可以觸發並對「Rule status and configuration」表中未設置為「永不」狀態的任何核心或基本規則採取行動。
    • Apply Intrusion Prevention rules you have configured to "Always" status:僅在您將規則的「狀態」更改為「Always applied」「Rule status and configuration」表中時,才會觸發並執行入侵防護規則的動作。
    重要
    重要
    • 建議掃瞄僅支援具有 Server & Workload Protection 的代理程式。具有 Standard Endpoint Protection 的代理程式僅適用「Core」 規則集。
    • Recommendation Scan 是 「Endpoint Security Pro」 功能。Endpoint Security Pro 每個支援的端點需要 300 點數。Standard Endpoint Protection 端點不包含在啟用 Recommendation Scan 的計算中。
  4. 管理「Rule status and configuration」
    查看入侵防護規則詳細資訊並管理規則狀態。
    1. 如果規則列表被隱藏,請點擊「Display rule settings」以顯示規則列表。
    2. 定位您要設定的規則。
      使用搜尋和篩選器來找到您想要管理的規則。點擊「自訂欄」圖示(columns=dafaf686-f263-4003-b252-91dbb0ee6fd8.jpg)以管理哪些表格欄位可見。
      若要查看有關規則的更多詳細資訊,請點擊規則名稱。若要查看有關受監控應用程式的更多詳細資訊,請點擊應用程式類型。
    3. 配置下列規則狀態。
      • 動態:代理可能會根據您的建議設定應用入侵防護規則,以觸發並對安全事件採取行動。動態是預設設定。如果您想將規則設為「Always」「永不」,則必須手動更改規則狀態。
      • Always:代理程式會觸發並執行入侵防護規則,無論您的建議設定為何。您可以配置最多 350 條規則,並始終保持應用狀態。
      • 永不:無論您的建議設定如何,代理程式都不會觸發並採取入侵防護規則的行動。
      若要將所有「進階」規則的狀態設為「動態」,請點擊「Set all Advanced rules to Dynamic」
      重要
      重要
      • 進階規則集是一個「Endpoint Security Pro」功能。如果您將進階規則狀態設置為「永遠」,則需要「Endpoint Security Pro」。Endpoint Security Pro 對於每個受支持的端點,無論是 Standard Endpoint Protection 還是 Server & Workload Protection,都需要 300 點數。
      • 「Endpoint Security Pro」 不需要用於任何進階規則集以設定 「動態」「永不」
      • 「Set all Advanced rules to Dynamic」 將所有狀態為 「永遠」「永不」 的進階規則重設為 「動態」 的預設值。
        「Set all Advanced rules to Dynamic」 可能會減少您的信用使用量,如果沒有其他 「Endpoint Security Pro」 功能已啟動。
  5. 要從入侵防護掃瞄和監控中排除受信任的 IP 位址,請為「IP address exclusions」選擇一個 IP 清單。
    您可以在策略資源中建立和配置 IP 清單。欲了解詳細資訊,請參閱 IP 清單