Notifications Host Intrusion Prevention

Host Intrusion Prevention prend en charge les catégories suivantes de notifications spécifiques au produit :

Les notifications peuvent être configurées uniquement pour toutes les signatures IPS hôte (ou réseau), ou pour aucune. Entercept 5.x prenait en charge des notifications basées sur des ensembles d'ID de signatures ou sur des niveaux de gravité individuels. Host Intrusion Prevention prend en charge la définition d'un ID de signature IPS unique dans le champ Nom de la menace ou Nom de la règle dans la configuration de la règle de notification. En interne, l'attribut ID de signature d'un événement est associé au nom de la menace et une règle est ainsi créée pour identifier de façon unique une signature IPS.

Les associations spécifiques des paramètres Host Intrusion Prevention autorisés dans l'objet/ le corps d'un message comprennent :

Paramètres
Valeurs d'événements IPS hôte et réseau
Valeurs d'événements d'application bloquée
Valeurs d'événements de quarantaine
ReceivedThreatNames
SignatureID
aucun
aucun
SourceComputers
Adresse IP distante
nom de l'ordinateur
nom de l'ordinateur
AffectedObjects
Nom du processus
Nom de l'application
adresse IP de l'ordinateur
EventTimestamp
Heure de l'incident
Heure de l'incident
Heure de l'incident
EventID
application ePO de l'ID d'événement
application ePO de l'ID d'événement
application ePO de l'ID d'événement
AdditionalInformation
Nom de signature localisé (depuis l'ordinateur client)
Chemin d'accès complet à l'application
aucun

Copyright © 2005 McAfee, Inc. Tous droits réservés.