@LukaszOlejnik
Blog (2)
Komentarze (7)
Recenzje (0)

ESET i mechanizm IDS

@LukaszOlejnikESET i mechanizm IDS09.07.2021 10:44

Od wersji 7 korporacyjnego rozwiązania antywirusowego firmy ESET mamy wbudowany mechanizm IDS. Korporacyjnego, czyli mam tu na myśli produkty dla dużych firm, takie jak ESMC i ESET Protect, który jest następcą ESMC.

Wspomniany Mechanizm Intrusion Detection System pozwala nam wychwycić niepokojące sygnały które dzieją się u nas w sieci, którą zarządzamy. Możemy wykryć próbę skanowania sieci (np. za pomocą nmpa), próby niepożądanego podłączenia do zasobów, zduplikowane adresy IP itp.

Pokażę poniżej jak go skonfigurować na przykładzie nowej reguły.

W zakładce Policies klikamy na przycisk Actions -> New. Utworzy nam się nowa reguła, którą nazywamy tak jak nam jest wygodnie (rys.1)

Rys 1. Tworzenie nowej reguły
Rys 1. Tworzenie nowej reguły

W zakładce Settings przechodzimy do opcji Network Protection (1) , dalej klikamy Network Attack Protection (2) i następnie klikamy IDS rules (Rys. 2)

Rys. 2 okno Network Protection
Rys. 2 okno Network Protection

W kolejnym oknie klikamy ADD (rys.3)

Rys 3. Okno dodawania reguł
Rys 3. Okno dodawania reguł

Kiedy klikniemy Add to wyświetli się okno konfigurowania konkretnej reguły. Do wyboru mamy wykrywanie skanowania portów TCP, UDP, zduplikowanych adresów IP, podłączania się do zasobów sieciowych i wiele innych. Wybieramy to co nas interesuje i mamy możliwości obsłużenia. Jest to ważne, bo ilość logów w zależności od wielkości organizacji może się wahać od 10 dziennie, do ponad 1 tys. Niektóre są false positive oczywiście, więc trzeba mieć też wiedzę, aby nie powycinać za dużo. (rys 4.)

Rys 4. Wybór reguł IDS
Rys 4. Wybór reguł IDS

Kiedy już zdecydujemy co chcemy monitorować wybieramy zakres, gdzie mają te reguły działać – czy ma to być pojedynczy komputer, kilka, czy całe podsieci. Tutaj warto zwrócić uwagę na akcje jakie ma podejmować IDS:

Block – blokuje wychodzący/przychodzący ruch

Notify – Użytkownik dostaje komunikat o zablokowanych działaniach (rys. 6). Tutaj warto uważać, aby nie dostawał za dużo komunikatów, bo potem, kiedy będą naprawdę istotne to będzie je ignorował. Zalecam ustawienie tej opcji na NO

Log – zdarzenie będzie rejestrowane. Po włączeniu tej opcji zdarzenia będą się pojawiały na panelu ESET Protection w zakładce Detections (rys 7.)

Rys 5 Zakres i akcje
Rys 5 Zakres i akcje
Rys 6. Komunikat o podejrzanym ruchu na komputerze
Rys 6. Komunikat o podejrzanym ruchu na komputerze
Rys 7. Przykładowy wpis w zakładce Detections
Rys 7. Przykładowy wpis w zakładce Detections

Życzę udanych łowów.

Autor posiada tytuł ESET Managed Client Security Proffesional. Artykuł nie jest sponsorowany.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.