Types de signatures

La stratégie Règles IPS peut contenir trois types de signatures :

Signatures hôte

Les signatures d’intrusion hôte (HIPS) détectent et bloquent les attaques contre le système et contiennent les règles Fichier, Registre, Service et HTTP. Elles sont développées par les experts en sécurité Host Intrusion Prevention et fournies avec le produit.

Chaque signature possède une description et un niveau de gravité par défaut. S’il possède les privilèges appropriés, l’administrateur peut modifier le niveau de gravité d’une signature ou la désactiver pour un groupe d’agents.

Lors de leur activation, les signatures hôte génèrent un événement IPS qui apparaît dans l’onglet Événements IPS.

Signatures hôte personnalisées

Les signatures personnalisées sont des signatures hôte que vous pouvez créer pour améliorer la protection du système afin de répondre à vos besoins. Par exemple, lorsque vous créez un nouveau répertoire contenant des fichiers importants, vous pouvez créer une signature personnalisées pour le protéger.

Signatures réseau

Les signatures de prévention d’intrusion réseau (NIPS) détectent et bloquent les attaques de réseau connues survenant sur le système hôte.

Les signatures réseau s'affichent dans la console, dans la même liste de signatures que les signatures hôte. Elles ont leur propre icone dans la colonne Type et sont signalées comme IPS réseau dans la boîte de dialogue Propriétés générales des signatures.

Chaque signature possède une description et un niveau de gravité par défaut. S’il possède les privilèges appropriés, l’administrateur peut modifier le niveau de gravité d’une signature ou la désactiver.

Chaque signature réseau peut être désactivée, même si elle est associée à une réaction Consigner ou Bloquer dans le cadre de la stratégie active. Cependant, dans le cas d’une réaction Bloquer, l’opération est tout de même bloquée, même si l’événement n’est pas consigné.

Vous pouvez créer des exceptions pour les signatures réseau ; cependant, vous ne pouvez pas spécifier d’attributs supplémentaires tels que l’utilisateur du système d’exploitation ou le nom du processus. Les détails avancés contiennent les paramètres spécifiques au réseau, tels que les adresse IP, que vous pouvez choisir individuellement.

Les événements générés par les signatures réseau s’affichent en même temps que les événements hôte, dans l’onglet Événements IPS ; ils présentent également le même comportement que les événements hôte.

 

Les signatures réseau personnalisées ne sont pas prises en charge.

Copyright © 2005 McAfee, Inc. Tous droits réservés.