檢視次數:
啟用入侵防護模組並使用偵測模式監控網路流量中的漏洞利用。當您對入侵防護規則的分配感到滿意時,切換到防護模式。
注意
注意
CPU 使用率和 RAM 使用率會因您 IPS 配置而異。要優化代理上的 IPS 性能,請參閱 入侵防護性能提示
如需了解入侵防護模組的防護總覽,請參閱使用入侵防護封鎖利用嘗試

啟用偵測模式的入侵防護 上層主題

啟用入侵防護並使用偵測模式進行監控。使用適當的政策配置入侵防護以影響目標電腦。您也可以配置個別電腦。

步驟

  1. 前往 Computer or Policy editor Intrusion Prevention General
  2. 對於Configuration,請選擇開啟Inherited (On)
    editor-intrusion-prevention-general=1253fc9a-5723-481e-a23e-f96df3a47e0d.png
  3. 對於Intrusion Prevention Behavior,選擇Detect
    注意
    注意
    如需有關啟用容器入侵防護的資訊,請參閱 套用您的入侵防護設定
  4. 點選 儲存

接下來需執行的動作

秘訣
秘訣
如果行為設定不可用,Network Engine Mode 可能被設置為 Tap。(請參閱 在部署防火牆規則之前進行測試。)
為了更細緻的控制,當您指派入侵防護規則時,您可以覆蓋全域行為模式並配置特定規則以防止或檢測。(請參閱 覆蓋規則的行為模式。)

啟用自動套用核心端點和工作負載規則 上層主題

步驟

  1. Implement core Endpoint & Workload rules automatically 切換為是,
  2. 點選 儲存

接下來需執行的動作

秘訣
秘訣
Server & Workload Security保護 將在每次 規則更新 發生時,指派所有核心端點和工作負載規則到此電腦。
注意
注意
手動取消分配的核心端點和工作負載規則在規則更新後將保持未分配狀態。
注意
注意
我們建議您使用Endpoint license開啟此功能,並使用Workload license關閉此功能並使用推薦掃描

測試入侵防護 上層主題

您應該在繼續進行下一步之前測試入侵防護模組是否正常運作。

步驟

  1. 如果您有基於代理的部署,請確保您有一台運行代理的電腦防護。
  2. 關閉網頁信譽評等模組。在 Server & Workload Security保護 主控台中,點選 Computers,然後雙擊您將測試入侵防護的電腦。在電腦的對話框中,點選 網頁信譽評等服務,並選擇 關閉。網頁信譽評等現已停用,不會干擾入侵防護功能。
  3. 確保惡意流量已封鎖。仍在電腦防護的對話框中,點選入侵防護,在General標籤下,選擇Prevent。(如果是灰色的,將Configuration下拉列表設置為Inherited (On)。)
  4. 指派 EICAR 測試政策。仍在電腦防護的對話框中,點選 入侵防護。點選 Assign/Unassign。搜尋 10059241005924 - Restrict Download of EICAR Test File Over HTTP 政策會出現。選取其核取方塊並點選 確定。該政策現在已指派給電腦防護。
  5. 嘗試下載 EICAR 檔案(如果入侵防護正常運行,您將無法下載)。在 Windows 上,請前往此連結:http://files.trendmicro.com/products/eicar-file/eicar.com。在 Linux 上,輸入此命令:curl -O http://files.trendmicro.com/products/eicar-file/eicar.com
  6. 檢查電腦的入侵防護事件。在電腦的對話框中,點選Intrusion Prevention Intrusion Prevention Events。點選Get Events以查看自上次心跳以來發生的事件。事件會顯示Reason1005924 - Restrict Download of EICAR Test File Over HTTP。此事件的存在表示入侵防護正在運作。
  7. 將您的變更還原以使系統恢復到先前的狀態。開啟網頁信譽評等模組(如果您已將其關閉),重設PreventDetect選項,並從電腦防護中移除EICAR政策。

接下來需執行的動作

套用建議的規則 上層主題

為了最大化效能,僅指派您政策和電腦所需的入侵防護規則。您可以使用建議掃瞄來獲取適當規則的清單。
注意
注意
儘管建議掃描是針對特定電腦防護進行的,您可以將這些建議指派給電腦防護所使用的政策。
如需詳細資訊,請參閱 管理和執行建議掃描

步驟

  1. 打開電腦防護的屬性以進行掃瞄。按照手動執行推薦掃瞄中的說明運行推薦掃瞄。
    注意
    注意
    您可以將 Server & Workload Security保護 配置為在適當時 自動執行建議 掃瞄結果。
  2. 打開您想要指派規則的政策,並按照管理建議掃瞄結果中的說明完成規則指派。
    2016-07-08_000130_DS10=7c52440f-fd08-42fb-9934-90d51e790bf8.png
    秘訣
    秘訣
    要自動和定期微調您分配的入侵防護規則,您可以安排建議掃描。請參閱安排Server & Workload Security保護以執行任務

接下來需執行的動作

監控您的系統 上層主題

在您應用入侵防護規則後,請監控系統性能和入侵防護事件日誌。

監控系統效能 上層主題

監控 CPU、RAM 和網路使用情況,以確認系統效能是否仍然可接受。如果不行,您可以修改一些設定和部署方面來改善效能。(請參閱 入侵防護的效能提示。)

檢查入侵防護事件 上層主題

監控入侵防護事件以確保規則不會匹配到合法的網路流量。如果某個規則導致誤報,您可以未指派該規則。(請參閱 指派和未指派規則。)
要查看入侵防護事件,請點選Events & Reports Intrusion Prevention Events

啟用失敗開啟以應對封包或系統故障 上層主題

入侵防護模組包含一個網路引擎,可能會在應用入侵防護規則之前封鎖封包。這可能會導致您的服務和應用程式出現停機或效能問題。您可以更改此行為,以便在系統或內部封包故障發生時允許封包通過。詳情請參閱 啟用故障開放行為

切換到防護模式 上層主題

當您確信入侵防護未發現誤報時,請配置您的策略以在防護模式下使用入侵防護,以便強制執行規則並記錄相關事件。

步驟

  1. 前往 Computer or Policy editor Intrusion Prevention General
  2. 對於Intrusion Prevention Behavior,選擇Prevent
  3. 點選 儲存

接下來需執行的動作

為特定規則實施最佳實踐 上層主題

HTTP 通訊協定解碼規則 上層主題

HTTP 通訊協定解碼規則是「Web 伺服器通用」應用類型中最重要的規則。此規則在其他規則檢查 HTTP 流量之前對其進行解碼。此規則還允許您控制解碼過程的各種組件。
當您使用任何需要此規則的 Web 應用程式通用規則或 Web 伺服器通用規則時,此規則是必需的。Server & Workload Security保護 會在其他規則需要此規則時自動分配。由於每個 Web 應用程式都不同,使用此規則的政策應在切換到防止模式之前,在偵測模式下運行一段時間,以確定是否需要進行任何配置更改。
經常需要更改非法字符列表。
請參閱以下常見問題集文章以獲取有關此規則及其調整的更多詳細信息:

跨站腳本和通用 SQL 注入規則 上層主題

最常見的兩種應用層攻擊是 SQL 注入和跨站腳本攻擊 (XSS)。跨站腳本攻擊和 SQL 注入規則會預設攔截大多數攻擊,但如果它們導致誤報,您可能需要調整特定資源的丟棄分數。
兩個規則都是需要為網頁伺服器自訂配置的智能過濾器。如果您有來自 Web Application Vulnerability Scanner 的輸出,應在應用保護時利用該資訊。例如,如果 login.asp 頁面上的使用者名稱欄位易受 SQL 注入攻擊,請確保 SQL 注入規則配置為以低閾值監控該參數並進行阻斷。
如需詳細資訊,請參閱 https://success.trendmicro.com/solution/1098159
套用 NSX 安全標籤