Configuración de la directiva Protección IPS
La directiva Protección IPS define la reacción protectora para los niveles de gravedad de firma. Esta configuración indica a los agentes qué hacer cuando se detecta un ataque o un comportamiento sospechoso. Cada firma tiene un nivel de gravedad de entre cuatro posibles:
- Alto (rojo): Firma de amenazas de seguridad o acciones dañinas claramente identificables. Estas firmas son específicas de ataques de explotación claramente identificados y son principalmente de tipo no dependiente del comportamiento. Evite estas firmas en todos los sistemas.
- Medio (naranja): Firma de actividades relacionadas con el comportamiento en las que las aplicaciones funcionan fuera de su ámbito. Evite estas firmas en sistemas críticos, así como en servidores Web y servidores SQL.
- Bajo (amarillo): Firmas de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema están bloqueados y no se pueden modificar. Si se evitan estas firmas se aumenta la seguridad del sistema subyacente, pero es necesario realizar ajustes adicionales.
- Información (azul): Firma de actividades relacionadas con el comportamiento en las que las aplicaciones y los recursos del sistema se modifican y que pueden indicar un riesgo de seguridad benigno o un intento de acceder a información confidencial del sistema. Los eventos de este nivel se producen durante las actividades normales del sistema y, generalmente, no constituyen prueba de que se esté produciendo un ataque.
Estos niveles indican posibles daños en un sistema y le permiten definir reacciones específicas para distintos niveles de posibles daños. Puede modificar los niveles de gravedad y las reacciones para todas las firmas. Por ejemplo, cuando sea improbable que una actividad sospechosa provoque daños, puede seleccionar Omitir como reacción. Cuando es probable que una actividad sea peligrosa, puede definir Evitar como reacción.
La directiva Protección IPS tiene distintas directivas preestablecidas entre las que puede seleccionar. Si las directivas preestablecidas no proporcionan la combinación de opciones seleccionada que desea utilizar, cree una directiva nueva y seleccione las opciones requeridas. Las opciones que se pueden seleccionar en el cuadro de diálogo Protección IPS varían en función de la directiva seleccionada.
Para configurar la directiva Protección IPS:
- Amplíe la función IPS y haga clic en Editar en la línea de categoría Protección IPS.
- Para aplicar una directiva preestablecida, selecciónela en la lista de directivas. Haga clic en el icono del nombre de la directiva para ver su configuración:
Seleccione esta directiva...
|
Para las siguientes opciones...
|
(Basic Protection (McAfee Default))
|
Evitar las firmas con un nivel de gravedad alto y omitir el resto.
|
(Enhanced Protection)
|
Evitar las firmas con un nivel de gravedad alto y medio y omitir el resto.
|
(Maximum Protection)
|
Evitar las firmas con un nivel de gravedad alto, medio y bajo e incluir el resto en un archivo de registro.
|
(Prepare for Enhanced Protection)
|
Evitar las firmas con un nivel de gravedad alto, incluir las firmas con un nivel de gravedad medio en un archivo de registro y omitir el resto.
|
(Prepare for Maximum Protection)
|
Evitar las firmas con un nivel de gravedad alto y medio, incluir las firmas con un nivel de gravedad bajo en un archivo de registro y omitir el resto.
|
(Warning)
|
Incluir las firmas con un nivel de gravedad alto en un archivo de registro y omitir el resto.
|
- Haga clic en Aplicar.
Para crear una nueva directiva Protección IPS:
- En la línea de categoría Gravedad IPS, haga clic en Editar y, a continuación, seleccione Nueva directiva en la lista de directivas.
- En el cuadro de diálogo Crear nueva directiva, seleccione la directiva que se va a duplicar, escriba el nombre de la nueva directiva y, a continuación, haga clic en Aceptar.
|
Para crear una nueva directiva duplicada al ver los detalles de una directiva preestablecida, haga clic en Duplicar al final del cuadro de diálogo de la directiva. Escriba el nombre de la directiva nueva e indique si se debe asignar inmediatamente al nodo actual.
|
Aparece el cuadro de diálogo Protección IPS.
- Seleccione el tipo de reacción para cada nivel de gravedad:
Para este elemento...
|
Seleccione...
|
Alto
|
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
|
Medio
|
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
|
Bajo
|
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
Evitar para evitar el evento e incluirlo en un archivo de registro.
|
Información
|
Omitir para permitir el evento sin registrarlo.
Registro para permitir el evento y registrarlo.
|
- Haga clic en Aplicar y, a continuación, haga clic en Cerrar.
- Haga clic en Aplicar en la línea de categoría Protección IPS.
|
Las directivas sólo se pueden eliminar en la página del catálogo de directivas de ePolicy Orchestrator y sólo las pueden eliminar los administradores globales.
|
Copyright © 2005 McAfee, Inc. Reservados todos los derechos.