Gestion des signatures de prévention d'intrusion personnalisée

Vous pouvez enregistrer vos propres signatures de prévention d'intrusion réseau pour identifier une intrusion spécifique et pour réduire la possibilité de signatures entraînant un faux positif. Plus vous ajoutez d'informations à une signature personnalisée, plus celle-ci est efficace.
Vous devriez être familiarisé avec les protocoles TCP, UDP ou ICMP pour développer des signatures de prévention d'intrusion. Une signature incorrectement formée peut corrompre la bibliothèque de signatures personnalisées et endommager l'intégrité des clients.
Le pare-feu doit être installé et activé pour utiliser les signatures IPS personnalisées. Voir :
Gestion des signatures de prévention d'intrusion personnalisée
Tâche
Description
Créer une bibliothèque personnalisée avec un groupe de signatures
Vous devez créer une bibliothèque personnalisée pour y placer vos signatures personnalisées. Quand vous créez une bibliothèque personnalisée, vous utilisez des groupes de signatures pour gérer plus facilement les signatures. Vous devez ajouter au moins un groupe de signatures dans une bibliothèque de signatures personnalisées avant d'ajouter les signatures.Voir :
Ajouter des signatures IPS personnalisées dans une bibliothèque personnalisée
Vous ajoutez des signatures IPS personnalisées dans un groupe de signatures d'une bibliothèque personnalisée.Voir :
Attribuer des bibliothèques à des groupes de clients
Vous attribuez des bibliothèques personnalisées à des groupes de clients plutôt qu'à un emplacement.Voir :
Modifier l'ordre des signatures
La prévention d'intrusion utilise la première correspondance de règle.
Symantec Endpoint Protection
vérifie les signatures dans l'ordre dans lequel elles sont répertoriées dans la liste des signatures.
Par exemple, si vous ajoutez un groupe de signatures pour bloquer le trafic TCP dans les deux directions sur le port de destination 80, vous pouvez ajouter les signatures suivantes :
  • Bloquer l'ensemble du trafic sur le port 80.
  • Autoriser l'ensemble du trafic sur le port 80.
Si la signature Bloquer l'ensemble du trafic est répertoriée en premier, la signature Autoriser l'ensemble du trafic n'est jamais exécutée. Si la signature Autoriser l'ensemble du trafic est répertoriée en premier, la signature Bloquer l'ensemble du trafic n'est jamais exécutée et l'ensemble du trafic HTTP est toujours autorisé.
Les règles de filtrage ont la priorité sur les signatures de prévention d'intrusion.
Pour plus d'informations, consultez l'article :
Copier et coller des signatures
Vous pouvez copier et coller des signatures entre les groupes et entre les bibliothèques.
Définir des variables pour des signatures
Quand vous ajoutez une signature personnalisée, vous pouvez utiliser des variables pour représenter des données modifiables dans les signatures. Si les données changent, vous pouvez modifier la variable au lieu de modifier les signatures dans toute la bibliothèque.Voir :
Tester les signatures personnalisées
Vous devez tester les signatures de prévention d'intrusion personnalisée pour vous assurer qu'elles fonctionnent.Voir :