步驟
- 選取「啟動 Vulnerability Protection」。
- 設定入侵防護設定:
- 按一下「入侵防護規則」標籤。
- 選取下列其中一個掃瞄資料檔:
-
建議:確保防禦已知的弱點問題、提供相關程度更高的資料,並且降低對端點的效能影響。
-
加強:將可疑網路活動的額外入侵防護規則套用至「建議」掃瞄資料檔。
重要
加強掃瞄會產生大量非必要記錄檔並影響端點效能。趨勢科技強烈建議您使用「建議」資料檔。
-
- (選用)選取檢視以依狀態過濾入侵防護規則的清單。檢視說明全部顯示所有入侵防護規則預設 (已啟動)僅顯示所選掃瞄資料檔預設會啟動的入侵防護規則預設 (已關閉)僅顯示所選掃瞄資料檔預設會關閉的入侵防護規則使用者定義 (已啟動)僅顯示使用者啟動的入侵防護規則使用者定義 (已關閉)僅顯示使用者關閉的入侵防護規則
- 藉由從「狀態」下拉式清單控制項中選取來修改規則的狀態。
-
預設 (已啟動):選取的掃瞄資料檔預設會啟動對應的規則。選取此選項以套用掃瞄資料檔所定義的規則狀態。
-
預設 (已關閉):選取的掃瞄資料檔預設會關閉對應的規則。選取此選項以套用掃瞄資料檔所定義的規則狀態。
-
使用者定義 (已啟動):選取此選項可啟動規則。
-
使用者定義 (已關閉):選取此選項可關閉規則。
-
- 設定網路引擎設定:
- 按一下「網路引擎設定」標籤。
- 選取「網路引擎偵測模式*」。
注意
您也可以使用選取的「網路引擎偵測模式」來設定「進階記錄策略」。-
內嵌:即時封包串流直接透過 Vulnerability Protection 網路引擎傳遞。在封包繼續進行通訊協定堆疊之前,會將所有規則套用至網路流量。
-
TAP (僅偵測):從主要串流複製並轉向即時封包串流。
-
- 進行下列設定:設定說明「已建立」逾時在關閉連線前保持「已建立」狀態的時間LAST_ACK 逾時在關閉連線前保持 LAST-ACK 狀態的時間冷啟動逾時允許在啟動可設定狀態機制之前建立可能屬於連線的非 SYN 封包的時間長度UDP 逾時UDP 連線的持續時間上限TCP 連線數目上限同時 TCP 連線數目上限UDP 連線數目上限同時 UDP 連線數目上限暫不處理狀態碼選取最多 3 個暫不處理的事件類型進階記錄策略您可以選取下列設定:
-
略過:不過濾事件。會覆寫「暫不處理狀態碼」設定(如上)和其他進階設定,但不會覆寫 Apex One 伺服器上定義的記錄設定
-
網路引擎偵測模式*:選取「TAP (僅偵測)」做為「網路引擎偵測模式」時,請使用「Tap 模式」,如果選取「內嵌」做為「網路引擎偵測模式」,則請使用「正常」
-
正常:記錄已丟棄重新傳輸除外的所有事件
-
回溯相容性模式:僅限支援用途
-
詳細資訊模式:與「正常」相同,但會包括已丟棄重新傳輸
-
可設定狀態與正規化抑制:暫不處理已丟棄重新傳輸、缺少連線、無效的旗標、無效的序列、無效的 ACK、來路不明的 UDP、來路不明的 ICMP、不符合允許的策略
-
可設定狀態、正規化與片段抑制:暫不處理「可設定狀態與正規化抑制」暫不處理的所有項目,以及與片段相關的事件
-
可設定狀態、片段與驗證器抑制:暫不處理「可設定狀態、正規化與片段抑制」暫不處理的所有項目,以及與驗證器相關的事件
-
TAP 模式:暫不處理已丟棄重新傳輸、缺少連線、無效的旗標、無效的序列、無效的 ACK、ACK 重新傳輸上限、已關閉連線上的封包
如需「可設定狀態與正規化抑制」、「可設定狀態、正規化與片段抑制」、「可設定狀態、片段與驗證器抑制」和「TAP 模式」暫不處理之事件的更完整清單,請參閱進階記錄策略模式。 -
- 按一下「儲存」以套用設定。