Signatur hinzufügen oder bearbeiten

In diesem Dialogfeld können Sie Ihre eigenen paketbasierten Signaturen schreiben und sie einer benutzerdefinierten IPS-Bibliothek hinzufügen.
Dialogfeld "Signatur hinzufügen" oder "Signatur bearbeiten"
Optionen
Beschreibung
Name
Der Name der benutzerdefinierten Signatur.
Beschreibung
Die Beschreibung der benutzerdefinierten Signatur.
Schweregrad
Schweregrad des Ereignisses, das die Signatur ausgelöst hat.
Richtung
Richtung des Datenverkehrs des Ereignisses, das die Signatur prüft.
Inhalt
Textfeld, in das Sie die Signatursyntax eingeben.
Verwenden Sie diese Syntax. Argumente, die von einer Ellipse gefolgt werden, können wiederholt werden.
rule protocol-type, [Protokolloptionen,] [ip-Protokolloptionen,] "msg", "content"...
  • Regel
    protocol-type
    , [
    protocol-options
    ,] [
    Option "ip-protocol"
    ,] = Verkehrsbeschreibung.
  • msg = Die Textzeichenfolge, die im Sicherheitsprotokoll angezeigt wird. Die Meldungszeichenfolge muss in doppelte Anführungszeichen eingeschlossen werden (" "). Einfache Anführungszeichen (' ') sind nicht zulässig.
  • content = die Zeichenfolge, die mit der Nutzlastkomponente des Pakets auf eine mögliche Übereinstimmung verglichen wird. Die Inhalts-Zeichenfolge muss in doppelte Anführungszeichen eingeschlossen werden (" "). Einfache Anführungszeichen (' ') sind nicht zulässig.
Anwendungen
Die Anwendungen, die diese Regel auslösen. Durch die Angabe des Anwendungsnamens reduzieren Sie auch die Falschmeldungen, die andere Anwendungen generieren können.
Das Kontrollkästchen
Aktiviert
muss ausgewählt sein, damit die Anwendung die Signatur auslöst. Wenn eine beliebige Anwendung die Signatur auslösen soll, geben Sie das Platzhalterzeichen * ein.
Aktion
Die Aktionen, die eintreten können, wenn das Ereignis oder der Angriff ausgelöst wird.
  • Blockieren
    Identifiziert und blockiert das Ereignis oder den Angriff und verzeichnet dies im Client-Sicherheitsprotokoll. Wenden Sie diese Aktion bei einem hohen Schweregrad an.
  • Zulassen
    Identifiziert und verzeichnet das Ereignis oder den Angriff im Client-Sicherheitsprotokoll. Wenden Sie diese Aktion zur Überwachung des Datenverkehrs an.
  • In Paketprotokoll schreiben
    Verzeichnet das Ereignis oder den Angriff im Paketprotokoll des Clients. Das Paketprotokoll enthält einen Speicherauszug der Transaktion.