IPS-Ereignisse

Ein IPS-Ereignis wird ausgelöst, sobald ein von der Signatur definierter Sicherheitsverstoß erkannt wird. Beispiel: Die Host Intrusion Prevention vergleicht den Start jeder Anwendung mit einer für diesen Vorgang zuständigen Signatur und prüft, ob es sich um einen Angriff handelt. Wenn eine Übereinstimmung vorliegt, wird ein Ereignis generiert. Wenn nicht – weil für die Signatur eventuell eine Ausnahme vorliegt oder weil die Anwendung als vertrauenswürdig eingestuft ist – wird kein Ereignis generiert.

Wenn die Host Intrusion Prevention ein IPS-Ereignis erkennt, wird dieses auf der Registerkarte IPS-Ereignisse mit einem der vier Schweregrade gekennzeichnet: Hoch, Mittel, Gering oder Information.

 

Wenn derselbe Vorgang zwei Ereignisse auslöst, wird die höhere Reaktion ausgeführt.

Mithilfe der Liste der generierten Ereignisse können Sie bestimmen, welche Ereignisse zugelassen werden können und welche auf ein verdächtiges Verhalten hinweisen. Um Ereignisse zuzulassen, müssen Sie das System wie folgt konfigurieren:

Mit dieser Feineinstellung können Sie auftretende Ereignisse auf ein Minimum begrenzen und so mehr Zeit für die Analyse ernster Ereignisse verfügbar machen.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.