Como parte del despliegue de Host Intrusion Prevention, es necesario identificar un número pequeño de perfiles de uso distintos y crear directivas para ellos. La mejor forma de conseguirlo es configurar un despliegue de prueba y después comenzar a reducir el número de falsos positivos y de eventos generados. Este proceso recibe el nombre de ajuste.
Reglas IPS más estrictas, por ejemplo, ofrecen más firmas que señalan un rango más amplio de infracciones y generan más eventos que en un entorno básico. Si aplica la protección avanzada, se recomienda utilizar la directiva Protección IPS para escalonar el impacto. Esto conlleva la asignación de cada uno de los niveles de gravedad (Alto, Medio, Bajo e Información) a una reacción (Evitar, Registro y Omitir). Configurando inicialmente todas las reacciones de gravedad, excepto Alto, en Omitir, sólo se aplicarán las firmas de nivel de gravedad Alto. Los otros niveles pueden elevarse incrementalmente a medida que se realice el ajuste.
Se puede reducir el número de falsos positivos con la creación de reglas de excepción, aplicaciones de confianza y reglas del cortafuegos. Las reglas de excepción son mecanismos para anular una directiva de seguridad en circunstancias específicas. Las aplicaciones de confianza son procesos de aplicaciones que siempre se permiten. Las reglas del cortafuegos determinan si se permite el tráfico y también si se permitirá o bloqueará la transmisión de paquetes.
Copyright © 2005 McAfee, Inc. Reservados todos los derechos.