En esta sección se da respuesta a algunas preguntas prácticas que pueden surgir al utilizar Host Intrusion Prevention 6.0.
¿Qué es una directiva?
Una directiva es un subconjunto personalizado de opciones del producto que corresponden a una categoría de directivas. Para cada categoría de directivas, pueden crearse, modificarse o eliminarse tantas directivas con nombre como sea necesario.
¿Qué es la directiva McAfee Default?
Tras la instalación, cada categoría de directivas contiene al menos una directiva con nombre, McAfee Default. Las directivas predeterminadas de McAfee no pueden editarse, renombrarse ni eliminarse.
¿Qué sucede en los nodos del Directorio debajo de un nodo donde he asignado una nueva directiva?
Todos los nodos con herencia activada para la categoría de directivas especificada heredarán la directiva que se aplique a un nodo principal.
¿Cómo se ven afectados los nodos a los que se aplica una directiva cuando ésta se modifica?
Todos los nodos a los que se aplica una directiva reciben cualquier modificación realizada en la directiva en la siguiente comunicación entre agente y servidor o mediante la ejecución de una llamada de reactivación del agente. La directiva se impondrá después en cada intervalo de imposición de directivas.
¿Por qué la nueva directiva de Host Intrusion Prevention que he asignado no se impone?
Las nuevas asignaciones de directivas no se imponen hasta la siguiente comunicación entre agente y servidor o mediante la ejecución de una llamada de reactivación del agente después de realizar la asignación. Además, si la interfaz de usuario de cliente se desbloquea con una contraseña, no se imponen nuevas asignaciones de directivas.
¿Puedo delegar la administración de directivas IPS y del cortafuegos a diferentes administradores en distintas ubicaciones geográficas?
Sí. Host Intrusion Prevention permite delegar la responsabilidad de todas las funciones del producto o de funciones individuales, como IPS o Cortafuegos. No se admite una granularidad más fina de funcionalidad en la función, por ejemplo, administración de agentes y creación de excepciones.
Asigne derechos de usuario en el nivel del sitio, un nivel por debajo del directorio raíz, y los derechos se heredarán en todos los nodos debajo de ese sitio. No se admite el permiso explícito del usuario en nodos por debajo del nivel del sitio. Para delegar la administración por ubicación geográfica, designe una ubicación geográfica en un nodo de sitio y, a continuación, aplique los derechos de usuario correspondientes.
¿Puedo aplicar la misma configuración de seguridad a diferentes sistemas?
El árbol de la consola organiza los nodos jerárquicamente. Se asignan directivas a nodos, de forma que los nodos del nivel de sitio denotan normalmente agrupaciones basadas en perfil, como Todos los servidores, Todos los equipos de escritorio, Servidores IIS o Servidores SQL. Este patrón de grupo puede replicarse en cada nodo de sitio.
ePolicy Orchestrator permite la creación de directivas independientes de nodos, aunque pueden compartirse entre todos los nodos. Cuando se asigna una directiva a un nodo, sus nodos secundarios la heredan automáticamente, a menos que otra directiva la anule. Se puede crear una directiva que coincida con cada perfil, como Directiva de servidor IIS, y aplicarla a cada uno de los grupos de nodos correspondientes, como Servidores IIS.
Coloque un equipo con un nuevo agente de Host Intrusion Prevention en el grupo de perfiles apropiado al que se asignarán las directivas de seguridad correctas. Si esto no es posible, se puede definir la directiva para un agente individual modificando las directivas en el nivel de nodo individual. La mayoría de las directivas heredadas pueden anularse, a menos que a una directiva se le haya asignado herencia forzada.
¿Puedo ver y editar las directivas aplicables a un nodo o agente específico?
Sí. Las directivas de Host Intrusion Prevention tienen categorías específicas, como Reglas IPS y Protección IPS, y cada una de ellas proporciona configuración específica. En las funciones de Host Intrusion Prevention, se pueden ver las categorías correspondientes al nodo seleccionado de la ficha Directivas. Cada categoría muestra el nombre de su directiva o directivas asignadas. La mayoría de las categorías, como Protección IPS, muestran una sola directiva, mientras que las categorías Reglas IPS y Aplicaciones de confianza muestran una o varias instancias de directivas. Para ver los detalles de cada directiva, haga clic en el nombre de la misma.
¿Cómo puedo ver todas las directivas aplicables y los nodos a los que están asignadas?
El árbol de ePolicy Orchestrator tiene un nodo Catálogo de directivas, que muestra la lista de todas las directivas de cada categoría con un recuento de sus asignaciones. Haga clic en el valor de recuento para mostrar una lista de todos los nodos en los que la directiva se asigna directamente. El recuento no incluye nodos en los que se ha heredado la directiva.
¿Cómo puedo ver eventos IPS activados por agentes?
ePolicy Orchestrator no tiene su propio visor de eventos, por lo que los eventos se gestionan en la ficha Eventos IPS de Host Intrusion Prevention dentro de la directiva Reglas IPS. Para ver la lista de eventos asociados con un nodo seleccionado, haga clic en la ficha Directivas y, a continuación, haga clic en el vínculo Eventos IPS. La ficha Eventos IPS muestra el conjunto combinado de eventos IPS generados por agentes debajo del nodo seleccionado para un número de días específico. La vista se actualiza automáticamente cuando se activan nuevos eventos y ofrece las operaciones siguientes:
¿Cómo puedo crear una excepción basada en un evento IPS?
Seleccione un solo evento en la ficha Eventos IPS y haga clic en Crear excepción. Aparece un cuadro de diálogo Nueva excepción con datos ya introducidos basados en el evento original. Una ficha del cuadro de diálogo Nueva excepción muestra una lista de instancias de Directivas de reglas IPS de destino en las que se puede colocar esta excepción tras su creación.
|
La nueva excepción sólo puede colocarse en una directiva existente que pueda editarse. Aplique una excepción a un agente específico o a varios agentes; la directiva de destino para una excepción puede ser una directiva de agente específico o una que se ajuste a un perfil común. Sin embargo, todas las directivas pueden compartirse como opción predeterminada, y aparecen en la lista de asignaciones para cada nodo. Se recomienda crear y mantener un número pequeño de directivas, de forma que puedan satisfacer colectivamente las necesidades de todos los agentes. En lugar de crear una excepción nueva, puede buscar y editar una excepción existente con atributos similares en una directiva existente; para ello utilice la función Buscar excepciones relacionadas. |
¿Cómo puedo refinar directivas de Reglas IPS con mecanismos de ajuste automatizados?
Host Intrusion Prevention proporciona una opción de modo de adaptación, que permite que agentes creen de forma automática y silenciosa reglas del cliente que permitan que se produzca actividad bloqueada pero no dañina. Una vez que los agentes han estado en modo de adaptación por un tiempo, un administrador puede hacer lo siguiente:
¿Cómo puedo crear firmas personalizadas para una directiva IPS?
Las firmas personalizadas son parte de la directiva Reglas IPS y pueden crearse para satisfacer las necesidades de seguridad específicas de un perfil. Hay disponible un Asistente para firmas personalizadas para crear firmas sencillas; también hay disponibles modos Estándar y Experto de firmas personalizadas destinados a usuarios avanzados.
¿Cómo puedo reorganizar excepciones existentes y personalizar firmas en una nueva directiva?
Como administrador, ha identificado algunos falsos positivos en unos cuantos agentes y creado excepciones para ellos. Dado que estos eventos falsos positivos parecían aislados, inicialmente los ha colocado en diversas directivas. En un segundo análisis de las excepciones, ve un nuevo patrón: uno que puede aislarse en su propia directiva.
Para reorganizar estas excepciones en una nueva directiva, cree una nueva directiva de Reglas IPS y agréguela a la lista de directiva de Reglas IPS para el nodo correspondiente. Vea la lista de todas las excepciones de las diversas directivas asignadas a ese nodo. Seleccione una o varias excepciones apropiadas y muévalas a la nueva directiva.
Esta nueva directiva puede aplicarse entonces a otros agentes que se ajusten al perfil que se acaba de identificar, ya sea individualmente o como grupo.
¿Cómo puedo buscar directivas existentes que coincidan con un perfil determinado?
Normalmente una organización tendrá múltiples directivas de Reglas IPS, una por perfil de agente, como Servidor IIS y SQL Server. Dado que varios administradores gestionan normalmente diferentes partes del sistema, en ocasiones trabajar en diferentes turnos es esencial para tener un número pequeño de directivas mantenidas correctamente. Esto le ayudará como administrador a comprender rápidamente la organización actual de directivas y a identificar lo que se está buscando.
Puede utilizar Buscar excepciones IPS para buscar excepciones en función de sus atributos y localizar su directiva principal en el proceso. La búsqueda permite:
Copyright © 2005 McAfee, Inc. Reservados todos los derechos.