Les profils IDS/IPS sont utilisés pour regrouper les signatures, qui peuvent ensuite être appliquées pour sélectionner des applications.

Le profil IDS par défaut comporte des gravités critiques et ne peut pas être modifié.

Procédure

  1. Accédez à Sécurité > IDS distribué > .
  2. Tapez le nom et la description du profil.
  3. Cliquez sur une ou plusieurs des gravités que vous souhaitez inclure.
    Pour plus d'informations, reportez-vous à la section Indices de gravité d'IDS.
  4. (Facultatif) Filtrez les signatures par date de création, description, ID, nom, chemin d'accès, gravité, balise et étendue de balise. Faites basculer le bouton pour afficher les signatures modifiées par l'utilisateur.
  5. Pour modifier l'action sur une signature spécifique, cliquez sur Gérer la ou les signatures pour le profil. Cliquez sur Ajouter.
    Action Description
    Alerte Une alerte est générée et aucune action préventive automatique n'est effectuée.
    Annuler Une alerte est générée et les paquets incriminés sont abandonnés.
    Refuser Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

    Certaines signatures IDS sont appelées « flowbits » et sont utilisées conjointement avec des signatures secondaires. La signature capture un trafic de type particulier qui est chargé d'autres signatures qui déclenchent une action d'alerte ou de blocage. Elles sont définies de manière intentionnelle (sans alerte), car elles déclenchent des faux positifs bruyants. Aucune signature avec « flowbits:noalert » ne doit être définie pour être abandonnée. Reportez-vous à la section Signatures pour obtenir la liste des signatures dont le bit de flux est défini sur no-alert.

  6. Cliquez sur Enregistrer pour créer le profil.

Que faire ensuite

Créez des règles d'IDS.