Die Richtlinie „IPS-Regeln“ kann drei verschiedene Signaturtypen enthalten:
Hostsignaturen
Hostbasierte Intrusionspräventionssignaturen (HIPS) erkennen und verhindern Angriffe auf Systemvorgänge und enthalten Regeln vom Typ Datei, Registrierung, Dienst und HTTP. Diese sind von den Sicherheitsexperten der Host Intrusion Prevention entwickelt und gehören zum Produkt.
Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad. Ein Administrator mit einer entsprechenden Berechtigungsebene kann den Schweregrad einer Signatur ändern oder eine Signatur für Agentengruppen deaktivieren.
Wenn hostbasierte Signaturen ausgelöst werden, erzeugen diese ein IPS-Ereignis, das auf der Registerkarte IPS-Ereignisse angezeigt wird.
Benutzerdefinierte Hostsignaturen
Benutzerdefinierte Signaturen sind hostbasierte Signaturen, die Sie erstellen können, um einen zusätzlichen Schutz für besondere Anforderungen bereitzustellen. Beispiel: Wenn Sie ein neues Verzeichnis erstellen, das wichtige Dateien enthält, können Sie zu dessen Schutz eine benutzerdefinierte Signatur erstellen.
Netzwerksignaturen
Netzwerkbasierte Intrusionspräventionssignaturen (NIPS) erkennen und verhindern bekannte netzwerkbasierte Angriffe auf das Hostsystem.
Netzwerkbasierte Signaturen werden in der Konsole in derselben Signaturliste wie die hostbasierten Signaturen angezeigt. Sie haben ihr eigenes Symbol in der Spalte Typ und werden im Dialogfeld Signatureigenschaften – Allgemein als Netzwerk-IPS angezeigt.
Jede Signatur besitzt eine Beschreibung und einen standardmäßigen Schweregrad. Ein Administrator mit einer entsprechenden Berechtigungsebene kann den Schweregrad einer Signatur ändern oder eine Signatur deaktivieren.
Alle netzwerkbasierten Signaturen bieten die Option, die Protokollierung abzuschalten. Dies ist auch dann möglich, wenn der Signatur durch die geltende Richtlinie als Reaktion Protokollieren oder Verhindern zugewiesen ist. Im Fall der Reaktion Verhindern wird der Vorgang jedoch auch dann verhindert, wenn kein Ereignis protokolliert wird.
Sie können für netzwerkbasierte Signaturen Ausnahmen erstellen – Sie können allerdings keine zusätzlichen Parameterattribute angeben, wie den Betriebssystembenutzer und den Prozessnamen. Die erweiterten Details enthalten netzwerkspezifische Parameter, wie beispielsweise die IP-Adressen, die Sie angeben können.
Von netzwerkbasierten Signaturen generierte Ereignisse werden zusammen mit den hostbasierten Ereignissen auf der Registerkarte IPS-Ereignisse angezeigt. Sie zeigen dasselbe Verhalten wie hostbasierte Ereignisse.