IDS/IPS-Profile werden verwendet, um Signaturen zu gruppieren, die dann auf ausgewählte Anwendungen angewendet werden können.
Das IDS-Standardprofil enthält kritische Schweregrade und kann nicht bearbeitet werden.
Prozedur
- Navigieren Sie zu .
- Geben Sie einen Profilnamen und eine Beschreibung ein.
- Klicken Sie auf einen oder mehrere Schweregrade, die Sie einbeziehen möchten.
- (Optional) Filtern Sie Signaturen nach Erstellung, Beschreibung, ID, Namen, Pfad, Schweregrad, Tag und Tag-Geltungsbereich. Aktivieren Sie die Schaltfläche, um die vom Benutzer geänderten Signaturen anzuzeigen.
- Um die Aktion für eine bestimmte Signatur zu ändern, klicken Sie auf Signatur(en) für Profil verwalten. Klicken Sie auf Hinzufügen.
| Aktion |
Beschreibung |
| Warnung |
Eine Warnung wird generiert und es wird keine automatische vorbeugende Aktion durchgeführt. |
| Verwerfen |
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. |
| Ablehnen |
Eine Warnung wird generiert und die beanstandeten Pakete werden verworfen. Für TCP-Flows wird ein TCP-Zurücksetzungspaket von IDS generiert und sowohl an die Quelle als auch an das Ziel der Verbindung gesendet. Bei anderen Protokollen wird ein ICMP-Fehlerpaket an Quelle und Ziel der Verbindung gesendet. |
Einige IDS-Signaturen werden als „Flow-Bits“-Signaturen bezeichnet und in Verbindung mit sekundären Signaturen verwendet. Die Signatur erfasst einen bestimmten Typ des Datenverkehrs, der für andere Signaturen eingespeist wird, die eine Warnung oder eine Blockaktion auslösen. Diese sind absichtlich auf „stumm“ (keine Warnung) festgelegt, weil Sie laute falsch-positive Ergebnisse auslösen würden. Keine Signatur mit „flowbits:noalert“ sollte auf „ablegen“ festgelegt sein. Eine Liste der Signaturen, für die das Flow-Bit auf „keine Warnung“ festgelegt ist, finden Sie unter Signaturen.
- Klicken Sie auf Speichern, um das Profil zu erstellen.
Nächste Maßnahme
Erstellen Sie IDS-Regeln.
