Notifications Host Intrusion Prevention
Host Intrusion Prevention prend en charge les catégories suivantes de notifications spécifiques au produit :
- Intrusion hôte détectée et traitée
- Intrusion réseau détectée et traitée
- Application bloquée
- Ordinateur placé en mode de quarantaine
Les notifications peuvent être configurées uniquement pour toutes les signatures IPS hôte (ou réseau), ou pour aucune. Entercept 5.x prenait en charge des notifications basées sur des ensembles d'ID de signatures ou sur des niveaux de gravité individuels. Host Intrusion Prevention prend en charge la définition d'un ID de signature IPS unique dans le champ Nom de la menace ou Nom de la règle dans la configuration de la règle de notification. En interne, l'attribut ID de signature d'un événement est associé au nom de la menace et une règle est ainsi créée pour identifier de façon unique une signature IPS.
Les associations spécifiques des paramètres Host Intrusion Prevention autorisés dans l'objet/ le corps d'un message comprennent :
Paramètres
|
Valeurs d'événements IPS hôte et réseau
|
Valeurs d'événements d'application bloquée
|
Valeurs d'événements de quarantaine
|
ReceivedThreatNames
|
SignatureID
|
aucun
|
aucun
|
SourceComputers
|
Adresse IP distante
|
nom de l'ordinateur
|
nom de l'ordinateur
|
AffectedObjects
|
Nom du processus
|
Nom de l'application
|
adresse IP de l'ordinateur
|
EventTimestamp
|
Heure de l'incident
|
Heure de l'incident
|
Heure de l'incident
|
EventID
|
application ePO de l'ID d'événement
|
application ePO de l'ID d'événement
|
application ePO de l'ID d'événement
|
AdditionalInformation
|
Nom de signature localisé (depuis l'ordinateur client)
|
Chemin d'accès complet à l'application
|
aucun
|
Copyright © 2005 McAfee, Inc. Tous droits réservés.