Host Intrusion Prevention の通知
Host Intrusion Prevention は、次の製品固有の通知カテゴリをサポートします。
- 検出して処理されたホストへの侵入
- 検出して処理されたネットワークへの侵入
- ブロックされたアプリケーション
- [隔離モード] に置かれたコンピュータ
通知は、ホスト (またはネットワーク) IPS シグネチャのすべてに対して設定するか、いずれに対しても設定しないかのどちらかになります。Entercept 5.x では、シグネチャ ID のセットまたは個別の重大度レベルに基づいて通知をサポートしていました。Host Intrusion Prevention では、単独の IPS シグネチャ ID の指定を、通知ルール設定の [Threat Name (脅威の名前)] または [ルール名] フィールドとしてサポートします。イベントのシグネチャ ID 属性を脅威の名前に内部でマッピングすることで、IPS シグネチャを一意に識別するルールが作成されます。
メッセージの件名や本文で許可される Host Intrusion Prevention パラメータの特定マッピングには、次の項目が含まれます。
パラメータ
|
zXg—lbg[N IPS Cxgの値
|
ブロックされたアプリケーション イベントの値
|
隔離イベントの値
|
ReceivedThreatNames
|
シグネチャ ID
|
なし
|
なし
|
SourceComputers
|
リモート IP アドレス
|
コンピュータ名
|
コンピュータ名
|
AffectedObjects
|
プロセス名
|
アプリケーション名
|
コンピュータの IP アドレス
|
EventTimestamp
|
発生時間
|
発生時間
|
発生時間
|
EventID
|
イベント ID の ePO マッピング
|
イベント ID の ePO マッピング
|
イベント ID の ePO マッピング
|
AdditionalInformation
|
ローカライズされたシグネチャ名 (クライアント コンピュータから)
|
アプリケーションの完全なパス
|
なし
|
Copyright © 2005 McAfee, Inc. All Rights Reserved.