Los perfiles de IDS/IPS se utilizan para agrupar firmas, que se pueden aplicar a las aplicaciones seleccionadas.

El perfil de IDS predeterminado incluye gravedades críticas y no se puede editar.

Procedimiento

  1. Desplácese hasta Seguridad > IDS distribuido > Perfiles.
  2. Introduzca un nombre de perfil y una descripción.
  3. Haga clic en una o varias de las gravedades que desea incluir.
    Consulte Calificaciones de gravedad de IDS para obtener más información.
  4. (opcional) Filtre las firmas por creador, descripción, identificador, nombre, ruta, gravedad, etiqueta y ámbito de etiqueta. Alterne el botón para mostrar las firmas modificadas por el usuario.
  5. Para cambiar la acción en una firma específica, haga clic en Administrar firmas para el perfil. Haga clic en Agregar.
    Acción Descripción
    Alerta Se genera una alerta y no se lleva a cabo ninguna acción preventiva automática.
    Quitar Se genera una alerta y se descartan los paquetes problemáticos.
    Rechazar Se genera una alerta y se descartan los paquetes problemáticos. Para los flujos de TCP, se genera un paquete de restablecimiento de TCP mediante IDS y se envía al origen y destino de la conexión. Para otros protocolos, se envía un paquete ICMP-error al origen y al destino de la conexión.

    Algunas firmas de identificadores se denominan firmas "flowbits" y se utilizan junto con firmas secundarias. La firma captura un tráfico de tipo concreto que se transfiere a otras firmas que activan una alerta o una acción de bloqueo. Se configuran de forma que sean silenciosas (sin alerta), ya que activarían falsos positivos. No se debe descartar ninguna firma con "flowbits:noalert". Consulte Firmas para ver una lista de firmas cuyo flowbit está establecido sin alerta.

  6. Haga clic en Guardar para crear el perfil.

Qué hacer a continuación

Cree reglas de IDS.