Como gerenciar assinaturas de prevenção contra intrusões personalizada

Você pode gravar suas próprias assinaturas de prevenção contra intrusão na rede para identificar uma intrusão específica e reduzir a possibilidade de que as assinaturas criem um falso positivo. Quanto mais informações você puder adicionar a uma assinatura personalizada, mais eficiente ela será.
Você deve estar familiarizado com os protocolos TCP, UDP ou ICMP antes de desenvolver as assinaturas de prevenção contra intrusões. Uma assinatura formada incorretamente pode corromper a biblioteca de assinaturas personalizada e danificar a integridade dos clientes.
Você deve ter o firewall instalado e ativado para usar assinaturas IPS personalizadas. Como escolher os recursos de segurança para instalar no cliente
Como gerenciar assinaturas de prevenção contra intrusões personalizada
Tarefa
Descrição
Crie uma biblioteca personalizada com um grupo de assinaturas
Você deve criar uma biblioteca personalizada para conter suas assinaturas personalizadas. Quando criar uma biblioteca personalizada, você usará grupos de assinatura para gerenciar as assinaturas mais facilmente. Você deve adicionar pelo menos um grupo de assinaturas a uma biblioteca de assinaturas personalizadas antes de adicionar as assinaturas.
Adicionar assinaturas IPS personalizadas a uma biblioteca personalizada
Você adiciona assinaturas IPS personalizadas a um grupo de assinaturas em uma biblioteca personalizada.
Atribuir bibliotecas a grupos de clientes
Você atribui bibliotecas personalizadas a grupos de clientes em vez de a um local.
Alterar a ordem das assinaturas
A prevenção contra intrusões usa a primeira regra correspondente. O
Symantec Endpoint Protection
verifica as assinaturas na ordem em que estão listadas na lista de assinaturas.
Por exemplo, se você adicionar um grupo de assinaturas para bloquear tráfego TCP nas duas direções na porta de destino 80, poderá adicionar as seguintes assinaturas:
  • Bloquear todo o tráfego na porta 80.
  • Permitir todo o tráfego na porta 80.
Se a assinatura Bloquear todo o tráfego estiver listada primeiro, a assinatura Permitir todo o tráfego nunca será executada. Se a assinatura Permitir todo o tráfego estiver listada primeiro, a assinatura Bloquear todo o tráfego nunca será executada e todo tráfego HTTP será sempre permitido.
As regras de firewall tomam a precedência sobre as assinaturas de prevenção contra intrusões.
Copiar e colar assinaturas
Você pode copiar e colar as assinaturas entre os grupos e entre as bibliotecas.
Definição de variáveis para assinaturas
Ao adicionar uma assinatura personalizada, é possível usar variáveis para representar dados sujeitos a alterações em assinaturas. Se os dados forem alterados, você poderá editar a variável em vez de editar as assinaturas da biblioteca.
Testar assinaturas personalizadas
Você deve testar as assinaturas da Prevenção contra intrusões personalizada para se certificar de que funcionem.