Feinabstimmung

Als Teil der Bereitstellung von Host Intrusion Prevention müssen Sie einige eindeutige Verwendungsprofile bezeichnen und für sie Richtlinien erstellen. Dies erreichen Sie am besten, wenn Sie eine Testbereitstellung einrichten und dann damit beginnen, die Zahl der falschen positiven und generierten Ereignisse zu verringern. Dieser Vorgang wird Feinabstimmung oder Tuning genannt.

Stärkere IPS-Regeln bieten beispielsweise mehr Signaturen, die eine breitere Palette von Verletzungen anvisieren und damit wesentlich mehr Ereignisse generieren als in einer Basisumgebung. Wenn Sie den erweiterten Schutz anwenden, empfehlen wir Ihnen die Verwendung der IPS-Schutzrichtlinie, um den Nutzen zu erhöhen. Dazu gehört die Zuordnung jeder Sicherheitsebene (Hoch, Mittel, Niedrig und Information) zu einer Reaktion (Verhindern, Protokollieren, Ignorieren). Indem anfangs alle Sicherheitsebenen mit Ausnahme von „Hoch“ auf „Ignorieren“ festgelegt werden, werden nur die Sicherheitssignaturen von „Hoch“ angewendet. Die anderen Ebenen können nach und nach beim Durchführen der Feinabstimmung erhöht werden.

Sie können die Zahl der falschen Positive verringern, indem Sie Ausnahmeregeln, vertrauenswürdige Anwendungen und Firewall-Regeln erstellen. Ausnahmeregeln sind Mechanismen für das Überschreiben einer Sicherheitsrichtlinie unter bestimmten Umständen. Vertrauenswürdige Anwendungen sind Anwendungsprozesse, die immer erlaubt sind. Firewall-Regeln bestimmen, ob Datenverkehr zulässig ist und ob die Paketübertragung erlaubt oder blockiert wird.

Copyright © 2005 McAfee, Inc. Alle Rechte vorbehalten.