Správa vlastních signatur prevence narušení

Chcete-li zjistit specifické narušení a omezit počet chybných detekcí způsobených signaturami, můžete vytvořit vlastní síťové signatury prevence narušení. Čím více informací do vlastní signatury zadáte, tím bude signatura efektivnější.
Než rozšíříte signatury prevence narušení, seznamte se s protokoly TCP, UDP a ICMP. Nesprávně vytvořená signatura může poškodit vlastní knihovnu signatur a integritu klientů.
Chcete-li používat vlastní signatury IPS, je nutné mít nainstalovanou a zapnutou bránu firewall. Výběr funkcí zabezpečení, které mají být nainstalovány do klienta
Správa vlastních signatur prevence narušení
Úloha
Popis
Vytvoření vlastní knihovny se skupinou signatur
Můžete vytvořit vlastní knihovnu obsahující vlastní signatury. Při vytváření vlastní knihovny můžete pro usnadnění správy uspořádat signatury do skupin. Než přidáte signatury, je třeba do vlastní knihovny signatur přidat alespoň jednu skupinu signatur.
Přidání vlastních signatur IPS do vlastní knihovny
Můžete přidat vlastní signatury IPS do skupiny signatur ve vlastní knihovně.
Přiřazení knihoven skupinám klientů
Vlastní knihovny můžete přiřadit do skupin klientů, ne do umístění.
Změna pořadí signatur
Prevence narušení využívá shodu prvního pravidla.
Symantec Endpoint Protection
kontroluje signatury v pořadí, ve kterém jsou uvedeny v seznamu signatur.
Pokud například přidáte skupinu signatur pro blokování provozu TCP v obou směrech na cílovém portu 80, můžete přidat následující signatury:
  • Blokovat veškerý provoz na portu 80,
  • Povolit veškerý provoz na portu 80.
Pokud se signatura Blokovat veškerý provoz nachází v seznamu jako první, signatura Povolit veškerý provoz se nikdy nepoužije. Pokud se signatura Povolit veškerý provoz nachází v seznamu jako první, signatura Blokovat veškerý provoz se nikdy nepoužije.
Pravidla brány firewall mají přednost před signaturami prevence narušení.
Kopírování a vkládání signatur
Mezi skupinami a knihovnami signatur lze signatury kopírovat a vkládat.
Definování proměnných pro signatury
Když přidáváte vlastní signatury, můžete v signaturách místo proměnlivých dat použít proměnné. Pokud dojde ke změně dat, můžete místo úpravy signatur v celé knihovně upravit příslušnou proměnnou.
Otestování vlastních signatur
U vlastních signatur prevence narušení byste měli testováním ověřit, že fungují.