Gestion de la prévention d'intrusion

Les paramètres par défaut de prévention d'intrusion protègent les ordinateurs client contre une grande variété de menaces. Vous pouvez modifier les paramètres par défaut pour votre réseau.
Si vous exécutez
Symantec Endpoint Protection
sur des serveurs, la prévention d'intrusion peut affecter des ressources ou le temps de réponse du serveur. Pour plus d'informations, consultez l'article :
Le client Linux ne prend pas en charge la prévention d'intrusion.
Gestion de la prévention d'intrusion
Tâche
Description
En savoir plus sur la prévention d'intrusion
Découvrez comment la prévention d'intrusion détecte et bloque les attaques réseau et de navigateur.
Activer la prévention d'intrusion
Pour maintenir la sécurité de vos ordinateurs clients, la prévention d'intrusion doit rester activée:
  • Prévention d'intrusion réseau
  • Prévention d'intrusion du navigateur (ordinateurs Windows uniquement)
    Vous pouvez également configurer la prévention d'intrusion du navigateur de façon à seulement consigner les détections, sans les bloquer. Vous devez utiliser cette configuration de façon temporaire, car elle réduit le profil de sécurité du client. Par exemple, vous pouvez configurer le mode de consignation uniquement pendant que vous dépannez un trafic bloqué sur le client. Après avoir passé en revue le journal des attaques pour identifier et exclure les signatures qui bloquent le trafic, vous désactivez le mode de consignation uniquement.
Vous pouvez également activer ou désactiver les deux types de prévention d'intrusion, ainsi que le pare-feu, lorsque vous exécutez la commande
Activer la protection contre les menaces réseau
sur un groupe ou un client.
Créer des exceptions pour modifier le comportement par défaut des signatures de prévention d'intrusion réseau Symantec
Vous pouvez créer des exceptions pour modifier le comportement par défaut des signatures de prévention d'intrusion réseau Symantec par défaut. Certaines signatures bloquent le trafic par défaut et d'autres signatures autorisent le trafic par défaut.
Vous ne pouvez pas changer le comportement des signatures de prévention d'intrusion du navigateur.
Vous pouvez modifier le comportement par défaut de certaines signatures de réseau pour les raisons suivantes :
  • Réduire la consommation sur vos ordinateurs client.
    Par exemple, vous pouvez réduire le nombre de signatures qui bloquent le trafic. Assurez-vous, toutefois, qu'une signature d'attaque ne constitue aucune menace avant de l'exclure du blocage.
  • Autoriser certaines signatures de réseau que Symantec bloque par défaut.
    Par exemple, vous pouvez créer des exceptions pour réduire les faux positifs quand une activité réseau bénigne correspond à une signature d'attaque. Si vous savez que l'activité réseau est sécurisée, vous pouvez créer une exception.
  • Bloquer certaines signatures que Symantec autorise.
    Par exemple, Symantec inclut des signatures pour des applications point à point et autorise le trafic par défaut. Vous pouvez créer des exceptions pour bloquer ce trafic à la place.
  • Utilisez les signatures d'audit pour surveiller certains types de trafic (Windows uniquement).
    Par défaut, l'action
    Ne pas consigner
    est assignée aux signatures d'audit pour certains types de trafic, par exemple celui des applications de messagerie instantanée. Vous pouvez créer une exception pour consigner le trafic et pouvoir consulter les journaux et surveiller ce trafic dans votre réseau. Vous pouvez ensuite utiliser l'exception pour bloquer le trafic ou créer une règle de pare-feu dans ce même but ou simplement ne pas intervenir sur le trafic.
    Vous pouvez également créer une règle d'application pour le trafic.
Vous pouvez utiliser le contrôle des applications pour empêcher les utilisateurs d'exécuter des applications point à point sur leurs ordinateurs.
Si vous voulez bloquer des ports qui envoient et reçoivent du trafic point à point, utilisez une politique de pare-feu.
Créer des exceptions pour ignorer des signatures de navigateur sur les ordinateurs client
(Windows uniquement)
Vous pouvez créer des exceptions de sorte à exclure des signatures de navigateur de la prévention d'intrusion du navigateur sur les ordinateurs Windows.
Vous pouvez ignorer des signatures de navigateur si la prévention d'intrusion du navigateur pose des problèmes avec les navigateurs utilisés dans votre réseau.
Exclure des ordinateurs spécifiques des analyses de prévention d'intrusion réseau
Vous pouvez exclure certains ordinateurs de la prévention d'intrusion réseau. Par exemple, certains ordinateurs de votre réseau interne peuvent être installés à des fins de test. Vous pouvez configurer
Symantec Endpoint Protection
afin d'ignorer le trafic à destination et en provenance de ces ordinateurs.
Quand vous excluez des ordinateurs, vous les excluez également de la protection contre les dénis de service et de la protection contre les analyses de ports, assurées par le pare-feu.
Configurer des notifications de prévention d'intrusion
Par défaut, des messages apparaissent sur les ordinateurs client pour signaler les tentatives d'intrusion. Vous pouvez personnaliser le message.
Créer des signatures de prévention d'intrusion personnalisées (Windows uniquement)
Vous pouvez écrire votre propre signature de prévention d'intrusion pour identifier une menace spécifique. Quand vous écrivez votre propre signature, vous pouvez réduire la possibilité que cette signature génère un faux positif.
Par exemple, vous pouvez utiliser des signatures de prévention d'intrusion personnalisée pour bloquer et consigner des sites Web.
Le pare-feu doit être installé et activé pour utiliser les signatures IPS personnalisées.
Surveiller la prévention d'intrusion
Vérifiez régulièrement que la prévention d'intrusion est activée sur les ordinateurs client de votre réseau.