Управление системой предотвращения вторжений

Заданные по умолчанию параметры предотвращения вторжений обеспечивают клиентским компьютерам защиту от большого числа различных угроз. Параметры по умолчанию для сети можно изменить.
Если
Symantec Endpoint Protection
выполняется на серверах, система предотвращения вторжений может повлиять на ресурсы и время отклика серверов. Дополнительные сведения см. в следующей статье базы знаний:
Клиент Linux не поддерживает функцию предотвращения вторжений.
Управление системой предотвращения вторжений
Задача
Описание
Изучение информации о предотвращении вторжений
Изучите принципы, используемые системой предотвращения вторжений для обнаружения и блокирования атак на сеть и браузеры.
Включить предотвращение вторжений
Для обеспечения безопасности клиентских компьютеров рекомендуется не отключать систему предотвращения вторжений:
  • Система предотвращения вторжений сети
  • Система предотвращения вторжений для браузера (только для компьютеров Windows)
    Также можно настроить функцию предотвращения вторжений для браузера так, чтобы обнаружения только регистрировались в журнале, но не блокировались. Эту конфигурацию следует использовать лишь временно, так как она понижает профиль безопасности клиента. Например, режим только регистрации можно включить только на время устранения проблем с блокированием трафика на клиенте. После просмотра журнала атак и обнаружения и исключения сигнатур, блокирующих трафик, режим только регистрации можно выключить.
При выполнении команды
Включить защиту от сетевых угроз
для группы или клиента можно включить оба типа предотвращения вторжений, а также брандмауэр.
Создать исключения для изменения стандартного поведения сигнатур предотвращения вторжений для сети Symantec
При необходимости можно создать исключения для изменения стандартного поведения сигнатур предотвращения вторжений для сети Symantec по умолчанию. По умолчанию одни сигнатуры блокируют трафик, а другие разрешают его.
Изменить поведение сигнатур предотвращения вторжений для браузера невозможно.
Стандартное поведение некоторых сетевых сигнатур может понадобиться изменить по следующим причинам.
  • Снизить нагрузку на клиентских компьютерах.
    Например, можно уменьшить количество сигнатур, блокирующих трафик. Перед исключением из блокировки убедитесь, что сигнатура атаки не представляет угрозы.
  • Разрешить некоторые сетевые сигнатуры, по умолчанию заблокированные Symantec.
    Например, может понадобиться создать исключения для снижения числа ложноположительных обнаружений в случаях, когда повседневные сетевые операции распознаются как сигнатура атаки. Если известно, что сетевая операция безопасна, то можно создать исключение.
  • Блокировать некоторые сигнатуры, разрешенные Symantec.
    Например, по умолчанию Symantec включает сигнатуры для одноранговых приложений и разрешает этот трафик. Можно создать исключения для блокирования трафика.
  • Сигнатуры аудита используются для того, чтобы отслеживать определенные типы трафика (только для Windows)
    У сигнатур аудита имеется действие по умолчанию
    Не заносить
    в журнал для некоторых типов трафика, таких как трафик из приложений мгновенных сообщений. Вы можете создать исключение для записи трафика в журнал, чтобы можно было просматривать журналы и выполнять мониторинг такого трафика в вашей сети. После этого можно блокировать трафик, создать правило брандмауэра для блокировки трафика или не воздействовать на трафик.
    Можно также создать правило приложения для трафика.
Можно использовать управление приложениями, чтобы предотвратить выполнение пользователями одноранговых приложений на своих компьютерах.
С помощью политики брандмауэра можно блокировать порты, служащие для отправки и получения трафика одноранговых приложений.
Создать исключения для игнорирования сигнатур браузера на клиентских компьютерах
(Только Windows)
На компьютерах Windows можно создавать исключения, чтобы исключить сигнатуры для браузера из системы предотвращения вторжений для браузера.
Если система предотвращения вторжений для браузера вызывает сбои в работе браузеров сети, сигнатуры для браузера можно игнорировать.
Исключить конкретные компьютеры из сканирования системой предотвращения вторжений для сети
Отдельные компьютеры можно исключить из системы предотвращения вторжений для сети. Например, некоторые компьютеры во внутренней сети могут быть предназначены для тестирования. При этом исходящий и входящий трафик этих компьютеров в
Symantec Endpoint Protection
может игнорироваться.
Исключаемые компьютеры также исключаются из защиты отказа в обслуживании и защиты сканирования портов, предоставляемой брандмауэром.
Настроить уведомления системы предотвращения вторжений
По умолчанию при попытках вторжения на клиентских компьютерах появляется сообщение. Текст сообщения можно задать самостоятельно.
Создать пользовательские сигнатуры для предотвращения вторжений (только для Windows)
Для обнаружения определенной угрозы можно создать собственную сигнатуру предотвращения вторжений. При создании собственной сигнатуры можно снизить возможность ложно-позитивных обнаружений.
Например, пользовательские сигнатуры предотвращения вторжений могут применяться для блокирования и регистрации посещений веб-сайтов.
Для применения пользовательских сигнатур IPS необходимо установить и включить брандмауэр.
Вести мониторинг системы предотвращения вторжений
Регулярно проверяйте состояние системы предотвращения вторжений на клиентских компьютерах в сети.