Un événement IPS est déclenché lorsqu'une violation de sécurité, telle que définie par une signature, est détectée. Par exemple, Host Intrusion Prevention compare le démarrage d’une application à la signature correspondant à cette opération, qui peut représenter une attaque. Si les deux concordent, un événement est généré. Si ce n’est pas le cas, peut-être en raison d’une exception de la signature ou si l’application est considérée comme sûre, aucun événement n’est généré.
Lorsque Host Intrusion Prevention reconnaît un événement IPS, il l’inscrit dans l’onglet Événements IPS en lui affectant l’un des quatre niveaux de gravité : Élevé, Moyen, Faible et Informatif.
|
Lorsque deux événements sont déclenchés par la même opération, la réaction la plus forte est mise en uvre. |
À partir de la liste des événements générés, vous pouvez déterminer les événements pouvant être autorisés et ceux qui indiquent un comportement suspect. Pour autoriser des événements, configurez le système comme suit :
Ce processus d’affinage du réglage minimise le nombre d’événements de sécurité, libérant du temps pour analyser les événements sérieux qui se produisent.