請執行以下各部分中的任務,以配置和使用入侵防護規則。
如需入侵防護模組的防護總覽,請參閱使用入侵防護封鎖利用嘗試。
入侵防護規則清單 
政策頁面提供入侵防護規則列表。您可以搜尋入侵防護規則,並開啟和編輯規則屬性。在列表中,規則按應用程式類型分組,某些規則屬性顯示在不同的欄位中。
 |
秘訣TippingPoint 欄位包含相當於趨勢科技 TippingPoint 規則 ID。在入侵防護的進階搜尋中,您可以根據 TippingPoint 規則 ID 進行搜尋。您也可以在政策和電腦防護編輯器中查看已分配的入侵防護規則列表中的
TippingPoint 規則 ID。
|
要查看清單,點選Policies,然後在Common Objects/Rules下方點選入侵防護規則。
入侵防護授權類型
規則可用性欄位提供有關該規則可用的使用授權類型的信息。Endpoint & Workload表示此規則可以在端點和工作負載授權下分配。Workload規則可用性意味著該規則僅在使用授權類型為工作負載時才能分配。
如果所有指派的規則都具有 Endpoint & Workload 規則可用性,則使用授權類型為 Endpoint;如果至少有一個指派的規則具有工作負載規則可用性,則使用授權類型為 Workload。
查看有關入侵防護規則的資訊
入侵防護規則的屬性包括有關規則和其防護的漏洞的資訊。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
一般資訊
- Name:入侵防護規則的名稱。
- Description:入侵防護規則的描述。
- Minimum Agent/Appliance Version:支援此入侵防護規則所需的代理程式最低版本。
詳細資訊
點擊 New (
) 或 Properties (
) 會顯示 Intrusion Prevention Rule Properties 視窗。
) 或 Properties () 會顯示 Intrusion Prevention Rule Properties 視窗。 |
注意趨勢科技的入侵防護規則無法直接通過伺服器與工作負載保護編輯。相反地,如果入侵防護規則需要(或允許)配置,這些配置選項將會在Configuration標籤上可用。您自行編寫的自訂入侵防護規則將可編輯,這種情況下Rules標籤將會顯示。
|
-
Application Type:此入侵防護規則所歸類的應用程式類型。
秘訣
您可以從此面板編輯應用程式類型。當您從這裡編輯應用程式類型時,變更將應用到所有使用該類型的安全元素。 -
Priority:規則的優先級別。優先級較高的規則會在優先級較低的規則之前應用。
-
Severity:設定規則的嚴重性等級不會影響規則的實施或應用。嚴重性等級在查看入侵防護規則列表時可以作為排序標準。更重要的是,每個嚴重性等級都與一個嚴重性值相關聯;此值會乘以電腦防護的資產價值來確定事件的排名。(請參閱。)
-
CVSS Score:根據國家弱點資料庫評估弱點嚴重程度的指標。
識別(僅限趨勢科技規則)
- Type:可以是 Smart(包含一個或多個已知和未知(零日)弱點)、Exploit(特定的漏洞利用,通常基於簽章),或 Vulnerability(特定的弱點,可能存在一個或多個漏洞利用)。
- Issued:規則發布的日期。這不表示規則下載的時間。
- Last Updated: 規則最後一次被修改的時間,無論是本地修改還是元件更新下載期間。
- Identifier:規則的唯一識別標籤。
查看有關相關弱點的資訊(僅限趨勢科技規則)
趨勢科技提供的規則可以包含有關該規則所保護的弱點的信息。在適用的情況下,會顯示通用弱點評分系統 (CVSS)。(有關此評分系統的信息,請參閱 國家弱點資料庫 的 CVSS 頁面。)
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選弱點標籤。
指派和未指派規則
要在代理掃描期間應用入侵防護規則,請將其指派給適當的政策和電腦。當該規則不再必要時(因為弱點已被修補),請未指派該規則。
如果您無法從電腦防護編輯器中未指派入侵防護規則,這可能是因為這些規則目前已在政策中指派。指派在政策層級的規則必須使用政策編輯器移除,無法在電腦層級移除。
當您對政策進行更改時,會影響所有使用該政策的電腦。例如,當您從政策中未指派一條規則時,您會將該規則從所有受該政策保護的電腦中移除。若要繼續將該規則應用於其他電腦,請為該組電腦創建一個新政策。(請參閱
政策、繼承和覆蓋。)
|
秘訣要查看規則分配到的政策和電腦,請參閱規則屬性的分配到標籤。
|
步驟
- 在 Policies 頁面上,右鍵點擊該政策並選擇 詳細資訊。
- 點擊 。分配給該政策的規則會出現在 Assigned Intrusion Prevention Rules 列表中。
- 點擊 Assign/Unassign.
- 要指派規則,請選擇規則旁邊的方框。一組稱為核心端點和工作負載規則的入侵防護規則,能夠防護已知的弱點問題。這些規則適用於所有許可類型,您可以輕鬆地將它們作為一個群組指派:
- 選擇 Rule Selection。
- 點擊 Select all Core Endpoint & Workload Rules.
- 要未指派規則,請清除規則旁邊的方框。未指派端點和工作負載規則:
- 選擇 Rule Selection。
- 點擊 Deselect all Core Endpoint & Workload Rules.
- 點擊 確定.
自動指派核心端點和工作負載規則
自動指派更新所需的規則
安全更新可能包括新的或更新的應用程式類型和入侵防護規則,這需要指派次要的入侵防護規則。伺服器與工作負載保護 可以自動指派這些所需的規則。在政策或電腦的屬性中啟用這些自動指派。
步驟
- 在政策頁面上,右鍵點擊該政策,然後選擇 詳細資訊。
- 選擇 。
- 在 Rule Updates 區域中,選擇 是。
- 點擊 確定.
為規則配置事件記錄
配置規則的日誌事件並指定是否在日誌中包含資料防護。
伺服器與工作負載保護 可以在入侵防護事件中顯示 X-Forwarded-For 標頭,當它們在封包資料中可用時。當代理位於負載平衡器或 Proxy 後面時,這些資訊可能會很有用。X-Forwarded-For
標頭資料會顯示在事件的屬性視窗中。要包含標頭資料,請在日誌中包含封包資料並指派規則 1006540,啟用 X-Forwarded-For HTTP 標頭日誌記錄。
因為每次規則觸發事件時記錄所有封包資料是不切實際的,伺服器與工作負載保護 只在事件在指定時間內第一次發生時記錄資料。預設時間為五分鐘,但您可以在政策的 Period for Log only one packet within period 中更改此設定,位於 網路引擎設定 的進階選項中。
以下程序中的配置會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 點選 。
- 選擇一條規則並點擊 Properties。
- 在 Events 下的 General 標籤中,從這些選項中選擇:
-
要關閉該規則的日誌記錄,請選擇 Disable Event Logging。
-
要在封鎖或已封鎖封包時記錄事件,請選擇 Generate Event on Packet Drop。
-
要在日誌條目中包含封包資料,請選擇 Always Include Packet Data。
-
在檢測到的封包之前和之後記錄幾個封包,請選擇 Enable Debug Mode。僅在您的技術支援中心指示您這樣做時,才使用除錯模式。
-
- 要在日誌中包含封包資料,請允許規則捕獲封包資料:
- 在政策頁面,打開該政策。
- 選擇 。
- 在Event Data下,選擇是。
產生警報
當入侵防護規則觸發事件時生成警報。
以下程序中的配置會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 選擇 。
- 選擇一條規則。
- 點擊 Properties.
- 點擊選項標籤。
- 對於警訊,選擇開啟
- 點擊 確定.
設定配置選項(僅限趨勢科技規則)
某些趨勢科技提供的入侵防護規則具有配置選項,例如標頭長度、HTTP 允許的擴展名或 Cookie 長度。某些選項需要您進行配置。如果您指派了一條規則而未設置所需的選項,則會有警報通知您所需的選項。這同樣適用於任何來自安全更新的規則。
入侵防護規則列表顯示具有配置選項的規則,透過在圖示上顯示小齒輪 (
)。
)。自訂入侵防護規則包含一個 Rules 標籤,用於編輯規則。
以下程序中的配置會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 選擇 。
- 選擇一條規則並點擊 Properties。
- 點擊Configuration標籤。
- 配置屬性。
- 點擊 確定.
排程活動時間
排定入侵防護規則啟用的時間。僅在排定時間內啟用的入侵防護規則會在入侵防護規則頁面上顯示小時鐘圖示 (
)。
)。使用基於代理的保護時,排程將使用與端點作業系統相同的時區。
以下程序中執行的配置會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 選擇 。
- 選擇一條規則並點擊 Properties。
- 點擊選項標籤。
- 在Schedule中,選擇以下其中一項:
- New
- 頻率
- 編輯排程。
- 點擊 確定.
從建議中排除
從建議掃描的規則建議中排除入侵防護規則。
以下程序會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 選擇 。
- 選擇一條規則並點擊 Properties。
- 點擊選項標籤。
- 在Recommendations Options下,選擇Exclude from Recommendations。
- 點擊 確定.
設定規則的上下文
設定套用規則的情境。
以下程序會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 點選 。
- 選擇一個規則並點選Properties。
- 點選選項標籤。
- 在Context區域中,選擇New或選擇一個上下文。
- 根據需要編輯內容。
- 點選 確定。
覆寫規則的行為模式
將入侵防護規則的行為模式設置為檢測,以便在測試新規則時使用。在檢測模式下,該規則會創建一個以“僅檢測:”為前綴的日誌條目,並且不會干擾流量。有些入侵防護規則僅在檢測模式下運作。您無法更改這些規則的行為模式。如果您關閉該規則的日誌記錄,系統將不會記錄規則活動,無論行為模式如何。欲了解有關行為模式的更多資訊,請參見使用行為模式測試規則。
以下程序會影響所有政策。要為單一政策配置規則,請參閱 覆蓋規則和應用類型配置。
步驟
- 選擇 。
- 選擇一條規則並點擊 Properties。
- 選擇 Detect Only。
覆寫規則和應用程式類型配置
從電腦或政策編輯器中,您可以編輯入侵防護規則,使更改僅適用於該政策或電腦。您也可以編輯該規則以使更改全域適用,從而影響其他分配了該規則的政策和電腦。同樣,您可以配置應用程式類型以全域或僅針對單一政策或電腦進行應用。
步驟
- 在 Policies 頁面上,右鍵點擊該政策並選擇 詳細資訊。
- 點擊 入侵防護.
- 要編輯規則,右鍵點擊該規則並選擇以下選項之一:
-
Properties 以僅編輯該政策的規則
-
Properties (Global) 以編輯所有政策和電腦的規則
秘訣
當您選擇該規則並點擊屬性時,您僅在該政策中編輯該規則。 -
- 要編輯規則的應用程式類型,請右鍵點擊該規則並選擇以下選項之一:
-
Application Type Properties 只能編輯該政策的應用程式類型
-
Application Type Properties (Global) 以編輯所有政策和計算機的應用程式類型
注意
您可以將一個端口指派給最多八種類型的應用程式。超過八個,則該端口的規則將無法生效。 -
- 點擊 確定.
匯出規則
您可以將入侵防護規則匯出為 XML 或 CSV 檔案。
步驟
- 選擇 。
- 要匯出特定規則,請選擇規則。如果您未選擇任何規則,則匯出將包含所有規則。
- 執行以下其中一項:
- 對於 CSV 檔案,選擇 。
- 對於 XML 檔案,選擇 。
匯入規則
您可以從 XML 檔案匯入入侵防護規則。
步驟
- 選擇 並按照精靈中的指示進行操作。