McAfee Host Intrusion Prevention 8.0 Produkthandbuch zur Verwendung mit epolicy Orchestrator 4.0

Transkript

1 McAfee Host Intrusion Prevention 8.0 Produkthandbuch zur Verwendung mit epolicy Orchestrator 4.0

2 COPYRIGHT Copyright 2010 McAfee, Inc. Alle Rechte vorbehalten. Diese Publikation darf in keiner Form und in keiner Weise ohne die schriftliche Genehmigung von McAfee, Inc., oder ihren Lieferanten und angeschlossenen Unternehmen ganz oder teilweise reproduziert, übermittelt, übertragen, in einem Abrufsystem gespeichert oder in eine andere Sprache übersetzt werden. MARKEN AVERT, EPO, EPOLICY ORCHESTRATOR, FOUNDSTONE, GROUPSHIELD, INTRUSHIELD, LINUSHIELD, MA (MCAFEE SECURITYALLIANCE ECHANGE), MCAFEE, NETSHIELD, PORTALSHIELD, PREVENTSYS, SECURITYALLIANCE, SITEADVISOR, TOTAL PROTECTION, VIRUSSCAN, WEBSHIELD sind eingetragene Marken oder Marken von McAfee, Inc. und/oder der Tochterunternehmen in den USA und/oder anderen Ländern. Die Farbe Rot in Verbindung mit Sicherheit ist ein Merkmal der McAfee-Produkte. Alle anderen eingetragenen und nicht eingetragenen Marken in diesem Dokument sind alleiniges Eigentum der jeweiligen Besitzer. INFORMATIONEN ZUR LIZENZ Lizenzvereinbarung HINWEIS FÜR ALLE BENUTZER: LESEN SIE DEN LIZENZVERTRAG FÜR DIE VON IHNEN ERWORBENE SOFTWARE SORGFÄLTIG DURCH. ER ENTHÄLT DIE ALLGEMEINEN BESTIMMUNGEN UND BEDINGUNGEN FÜR DIE VERWENDUNG DER LIZENZIERTEN SOFTWARE. WENN SIE NICHT WISSEN, WELCHEN SOFTWARE-LIZENZTYP SIE ERWORBEN HABEN, SCHLAGEN SIE IN DEN UNTERLAGEN ZUM KAUF UND WEITEREN UNTERLAGEN BEZÜGLICH DER LIZENZGEWÄHRUNG ODER DEN BESTELLUNTERLAGEN NACH, DIE SIE ZUSAMMEN MIT DEM SOFTWAREPAKET ODER SEPARAT (ALS BROSCHÜRE, DATEI AUF DER PRODUKT-CD ODER ALS DATEI, DIE AUF DER WEBSEITE VERFÜGBAR IST, VON DER SIE AUCH DAS SOFTWAREPAKET HERUNTERGELADEN HABEN) ERHALTEN HABEN. WENN SIE MIT DEN IN DIESER VEREINBARUNG AUFGEFÜHRTEN BESTIMMUNGEN NICHT EINVERSTANDEN SIND, UNTERLASSEN SIE DIE INSTALLATION DER SOFTWARE. SOFERN MÖGLICH, GEBEN SIE DAS PRODUKT AN MCAFEE ODER IHREN HÄNDLER BEI VOLLER RÜCKERSTATTUNG DES KAUFPREISES ZURÜCK. 2

3 Inhaltsverzeichnis Über Host Intrusion Prevention Host IPS-Schutz Host IPS-Richtlinien Host IPS-Richtlinienverwaltung Host IPS-Richtliniennachverfolgung und Abstimmung Verwalten Ihres Schutzes Informationsverwaltung Host IPS-Dashboards Host IPS-Abfragen Richtlinienverwaltung Suchen von Richtlinien Konfigurieren von Richtlinien Standardschutz und Optimierung Host IPS-Richtlinienmigration Systemverwaltung Host IPS-Berechtigungssätze Host IPS-Server-Tasks Host IPS-Ereignisbenachrichtigungen Aktualisierungen des Host IPS-Schutzes Konfigurieren von IPS-Richtlinien Übersicht der IPS-Richtlinien Verfahren zur Bereitstellung von IPS-Schutz Signaturen Verhaltensregeln Reaktionen Ausnahmen Anwendungsschutzregeln Ereignisse Aktivieren des IPS-Schutzes Konfigurieren der Richtlinie für IPS-Optionen Festlegen der Reaktion auf IPS-Signaturen

4 Inhaltsverzeichnis Konfigurieren der Richtlinie für den IPS-Schutz Festlegen des IPS-Schutzes Konfigurieren der Richtlinie für IPS-Regeln Zuweisen mehrerer Instanzen der Richtlinie Häufig gestellte Fragen: Richtlinien mit mehreren Instanzen Funktionsweise von IPS-Signaturen Funktionsweise von IPS-Anwendungsschutzregeln Funktionsweise von IPS-Ausnahmen Überwachen von IPS-Ereignissen Verwalten von IPS-Ereignissen Erstellen von Ausnahmen anhand von Ereignissen Erstellen vertrauenswürdiger Anwendungen aus Ereignissen Überwachen von IPS-Client-Regeln Verwalten von IPS-Client-Regeln Konfigurieren von Firewall-Richtlinien Übersicht der Firewall-Richtlinien Funktionsweise von Firewall-Regeln Funktionsweise von Firewall-Regelgruppen Funktionsweise des Host IPS-Katalogs Statusbehaftete Firewall-Paketfilterung und -prüfung Auswirkungen des Lernmodus und des adaptiven Modus auf die Firewall Firewall-Client-Regeln Aktivieren des Firewall-Schutzes Konfigurieren der Richtlinie für Firewall-Optionen Häufig gestellte Fragen McAfee TrustedSource und die Firewall Definieren des Firewall-Schutzes Konfigurieren der Richtlinie für Firewall-Regeln Erstellen und Bearbeiten von Firewall-Regeln Erstellen und Bearbeiten von Firewall-Regelgruppen Erstellen von Konnektivitätsisolationsgruppen Blockieren des DNS-Datenverkehrs Verwenden des Host IPS-Katalogs Verwalten von Firewall-Client-Regeln Häufig gestellte Fragen Verwendung von Platzhaltern in Firewall-Regeln Konfigurieren von allgemeinen Richtlinien Übersicht über allgemeine Richtlinien Definieren der Client-Funktionen

5 Inhaltsverzeichnis Konfigurieren der Richtlinie "Client-Benutzeroberfläche" Festlegen der allgemeinen Optionen für die Client-Benutzeroberfläche Festlegen der erweiterten Optionen und Kennwörter für die Client-Benutzeroberfläche Festlegen der Fehlerbehebungsoptionen für die Client-Benutzeroberfläche Definieren vertrauenswürdiger Netzwerke Konfigurieren der Richtlinie "Vertrauenswürdige Netzwerke" Definieren vertrauenswürdiger Anwendungen Konfigurieren der Richtlinie "Vertrauenswürdige Anwendungen" Erstellen und Bearbeiten von Regeln für vertrauenswürdige Anwendungen Zuweisen mehrerer Instanzen der Richtlinie Arbeiten mit Host Intrusion Prevention-Clients Übersicht Windows-Client Taskleistenmenü Client-Konsole für Windows-Clients Entsperren der Windows-Client-Benutzeroberfläche Einstellen von Optionen für die Client-Benutzeroberfläche Fehlerbehebung für den Windows-Client Windows-Client-Warnungen Informationen zur Registerkarte "IPS-Richtlinie" Informationen zur Registerkarte "Firewall-Richtlinie" Informationen zur Registerkarte "Blockierte Hosts" Bearbeiten der Liste "Blockierte Hosts" Informationen zur Registerkarte "Anwendungsschutzliste" Arbeiten mit der Registerkarte "Aktivitätsprotokoll" Übersicht Solaris-Client Richtlinienerzwingung mit dem Solaris-Client Fehlerbehebung für den Solaris-Client Übersicht Linu-Client Richtlinienerzwingung mit dem Linu-Client Anmerkungen zum Linu-Client Fehlerbehebung für den Linu-Client Anhang A Schreiben von benutzerdefinierten Signaturen und Ausnahmen Regelstruktur Allgemeine Abschnitte Optionale allgemeine Abschnitte Platzhalter und Variablen Benutzerdefinierte Windows-Signaturen

6 Inhaltsverzeichnis Windows-Klasse "Buffer Overflow" Windows-Klasse "Files" Windows-Klasse "Hook" Windows-Klasse "Illegal Host IPS API Use" Windows-Klasse "Illegal Use" Windows-Klasse "Isapi" (HTTP) Windows-Klasse "Program" Windows-Klasse "Registry" Windows-Klasse "Services" Windows-Klasse "SQL" Klassen und Richtlinien für die einzelnen Windows-Plattformen Benutzerdefinierte Nicht-Windows-Signaturen Solaris/Linu-Klasse "UNI_file" Solaris/Linu-Klasse "UNI_apache" (HTTP) Solaris/Linu-Klasse "UNI_Misc" Solaris-Klasse "UNI_bo" Solaris-Klasse "UNI_map" Solaris-Klasse "UNI_GUID" Klassen und Richtlinien für die einzelnen UNI-Plattformen Anhang B: Fehlerbehebung Allgemeine Probleme Host IPS-Protokolle Dienstprogramm Clientcontrol.ee

7 Über Host Intrusion Prevention McAfee Host Intrusion Prevention ist ein hostbasiertes Entdeckungs- und Präventionssystem, das Systemressourcen und Anwendungen sowohl vor eternen als auch vor internen Angriffen schützt. Als verwaltbare und skalierbare Lösung schützt es Arbeitsstationen, Notebooks und unternehmenskritische Server, einschließlich Web- und Datenbankserver vor Eindringversuchen. Zero-Day-Angriffe und bekannte Angriffe werden mit patentierter Technologie blockiert. Host Intrusion Prevention (hier auch als Host IPS oder HIP bezeichnet) schützt Daten und beugt der Manipulation von System- und Netzwerkressourcen sowie Anwendungen vor, mit denen Informationen gespeichert und bereitgestellt werden. Dies wird mit einer Endpunkt-Firewall-Funktion und einem System zum Schutz vor Eindringversuchen (IPS) erreicht. Die IPS-Funktion wird monatlich aktualisiert; Patches im Zusammenhang mit neuen Bedrohungen sind somit weniger dringlich. Die Firewall-Funktion von Host Intrusion Prevention ist separat oder zusammen mit der IPS-Funktion von Host Intrusion Prevention erhältlich. Host Intrusion Prevention ist vollständig in epolicy Orchestrator integriert und verwendet zur Übertragung und Erzwingung von Richtlinien dessen Framework. Dieser Ansatz bietet eine vollständige Verwaltungslösung, mit der die unternehmensweite Bereitstellung auf bis zu Systemen in mehreren Sprachen möglich ist und die somit eine umfassende, globale Abdeckung bietet. Inhalt Host IPS-Schutz Host IPS-Richtlinien Host IPS-Richtlinienverwaltung Host IPS-Richtliniennachverfolgung und Abstimmung Host IPS-Schutz Nachdem alle für Host Intrusion Prevention erforderlichen Komponenten installiert sind und funktionieren, können Sie die Schutzfunktion anwenden, Ereignisse überwachen und Richtlinien und Inhalte nach Bedarf aktualisieren. Basisschutz Host Intrusion Prevention wird mit einem Satz von Standardrichtlinien geliefert, die einen grundlegenden Schutz für Ihre Umgebung bieten. Diese Einstellungen umfassen: Für IPS-Schutz: Signaturen mit einem hohen Schweregrad werden verhindert und alle anderen Signaturen ignoriert. McAfee-Anwendungen werden für alle Regeln außer IPS-Selbstschutzregeln als vertrauenswürdige Anwendungen eingestuft. 7

8 Über Host Intrusion Prevention Host IPS-Richtlinien Vordefinierte Anwendungen und Prozesse werden geschützt. Für Firewall-Schutz: Basis-Netzwerkkonnektivität ist zulässig. HINWEIS: Wenn Host Intrusion Prevention 8.0 zuerst installiert wird, ist der Schutz nicht aktiviert. Aktivieren Sie in der Richtlinie für IPS- oder Firewall-Optionen den Schutz, und wenden Sie die Richtlinie auf dem Client an. Erweiterter Schutz Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen. Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und ihre Optimierung vorzunehmen. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp. Host IPS-Richtlinien Eine Richtlinie ist eine Sammlung von Einstellungen, die Sie über die epolicy Orchestrator-Konsole konfigurieren und durchsetzen. Durch das Anwenden von Richtlinien wird sichergestellt, dass Ihre Sicherheitsbedürfnisse im Hinblick auf verwaltete Systeme erfüllt werden. Mit Host Intrusion Prevention werden drei Richtlinienfunktionen bereitgestellt, wobei jede einzelne eine Reihe von Sicherheitsoptionen umfasst. Dies sind im Einzelnen: IPS, Firewall und Allgemein. Die IPSund Firewall-Funktionen enthalten eine Richtlinie "Regeln", in der Regeln für Maßnahmen bestimmt werden, und eine Richtlinie "Optionen", mit der diese Regeln aktiviert oder deaktiviert werden. Die Eigentümerschaft an diesen Richtlinien wird im Richtlinienkatalog zugewiesen. Nachdem eine Richtlinie erstellt wurde, kann sie nur durch den Urheber dieser Richtlinie oder den globalen Administrator bearbeitet oder gelöscht werden. Richtlinien können ausschließlich über den Richtlinienkatalog gelöscht werden. IPS-Richtlinien Die IPS-Funktion beinhaltet drei Richtlinien zum Schutz von Windows- und Nicht-Windows-Computern. Sie enthält Details zu Ausnahmen, Signaturen, Anwendungsschutzregeln, Ereignissen und von Clients generierten Ausnahmen. IPS-Optionen (Alle Plattformen). Aktiviert oder deaktiviert den IPS-Schutz und das Anwenden des adaptiven Modus für die Feineinstellung. IPS-Schutz (Alle Plattformen). Legt die Schutzreaktion auf Ereignisse fest, die von Signaturen erzeugt werden. IPS-Regeln (Alle Plattformen). Legt Ausnahmen, Signaturen und Anwendungsschutzregeln fest. Diese Richtlinie ist eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisen mehrerer IPS-Regelrichtlinien statt nur einer einzelnen Richtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikte auftreten, wird die eplizite Einstellung mit dem höchsten Schutz angewendet. 8

9 Über Host Intrusion Prevention Host IPS-Richtlinienverwaltung Firewall-Richtlinien Die Firewall-Funktion umfasst drei Richtlinien, mit denen nur Windows-Computer geschützt werden. Die Richtlinien filtern den Netzwerkverkehr und lassen dabei legitimen Netzwerkverkehr die Firewall passieren und blockieren den Rest. Firewall-Optionen (nur Windows). Aktiviert oder deaktiviert den Firewall-Schutz und das Anwenden des adaptiven oder Lernmodus für die Feineinstellung. Firewall-Regeln (nur Windows). Legt die Firewall-Regeln fest. Firewall-DNS-Blockierung (nur Windows). Definiert die zu blockierenden Domänennamenserver. Allgemeine Richtlinien Die Funktion "Allgemein" enthält drei Richtlinien, die für IPS- und Firewall-Funktionen gelten. Client-UI (nur Windows). Definiert den Zugriff auf die Benutzeroberfläche von Host Intrusion Prevention auf Windows-Client-Systemen, einschließlich Fehlerbehebungsoptionen. Darüber hinaus wird ein Kennwortschutz aller Nicht-Windows-Client-Systeme ermöglicht. Vertrauenswürdige Netzwerke (nur Windows). Eine Liste der IP-Adressen und Netzwerke, über die eine sichere Kommunikation erfolgen kann. Wird mit den IPS- und Firewall-Funktionen verwendet. Vertrauenswürdige Anwendungen (Alle Plattformen). Eine Liste der Anwendungen, die für die Ausführung der meisten Operationen vertrauenswürdig sind. Wird mit der IPS-Funktion verwendet. Diese Richtlinie ist ebenfalls eine Richtlinie mit mehreren Instanzen und ermöglicht das Zuweisen mehrerer Regeln für vertrauenswürdige Anwendungen statt nur einer einzelnen Richtlinie für ein System. Die geltende Richtlinie stellt dann das Ergebnis der zusammengeführten Inhalte der Richtlinien dar. Falls zwischen den Einstellungen Konflikte auftreten, wird die Einstellung mit dem höchsten Schutz angewendet. Host IPS-Richtlinienverwaltung Über die epolicy Orchestrator-Konsole können Sie die Host Intrusion Prevention-Richtlinien von einem zentralen Standort aus konfigurieren. Durchsetzen von Richtlinien Wenn Sie Host Intrusion Prevention-Richtlinien über die Host Intrusion Prevention-Konsole ändern, werden die Änderungen auf den verwalteten Systemen während der nächsten Kommunikation zwischen Agent und Server übernommen. Standardmäßig ist dieses Intervall auf einen Wert von 60 Minuten eingestellt. Um die Richtlinien mit sofortiger Wirkung durchzusetzen, können Sie von der epolicy Orchestrator-Konsole aus eine Agenten-Reaktivierung durchführen. Richtlinien und ihre Kategorien Informationen zu Host Intrusion Prevention werden nach Funktion und Kategorie gruppiert. Jede Richtlinienkategorie bezieht sich auf eine bestimmte Untermenge von Richtlinien. Eine Richtlinie ist eine für einen bestimmten Zweck konfigurierte Gruppe von Einstellungen. Sie können so viele Richtlinien wie nötig erstellen, ändern oder löschen. Jede Richtlinie besitzt eine vordefinierte McAfee-Standard-Richtlinie, die sich nicht bearbeiten oder löschen lässt. Mit Ausnahme von IPS-Regeln und vertrauenswürdigen Anwendungen 9

10 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung besitzen alle Richtlinien auch die bearbeitbare Richtlinie Mein Standard, die auf der McAfee-Standardrichtlinie basiert. Zu einigen Richtlinienkategorien gehören unveränderliche, vorkonfigurierte Richtlinien. Falls diese vorkonfigurierten Richtlinien Ihrem Bedarf entsprechen, können Sie direkt eingesetzt werden. Diese Richtlinien können nur gelesen werden, lassen sich aber wie alle Richtlinien duplizieren. Das Duplikat selbst kann dann je nach Bedarf angepasst werden. IPS-Regeln und Richtlinien für vertrauenswürdige Anwendungen sind Richtlinien mit mehreren Instanzen, da Sie im Zusammenhang mit einer einzelnen Richtlinie mehrere Richtlinieninstanzen zuweisen können. Die Richtlinieninstanzen werden dabei automatisch in einer einzigen effektiven Richtlinie zusammengefasst. TIPP: Die Richtlinien "McAfee-Standard" für "IPS-Regeln" und "Vertrauenswürdige Anwendungen" werden automatisch als Teil des Inhaltsaktualisierungsvorgangs aktualisiert. Es wird empfohlen, die Zuweisung dieser Richtlinien für alle Clients sowie das Erstellen zusätzlicher Richtlinieninstanzen, um das Verhalten der beiden Richtlinien anzupassen. Anwenden von Richtlinien Richtlinien werden auf beliebige Systeme oder Systemstrukturgruppen entweder durch Vererbung oder Zuweisung angewendet. Vererbung bestimmt, ob die Richtlinieneinstellungen für ein System von dessen übergeordnetem Element übernommen werden. In der Standardeinstellung ist die Vererbung für die gesamte Systemstruktur aktiviert. Sie können diese Vererbung durch direkte Zuweisung von Richtlinien durchbrechen. Da Host Intrusion Prevention durch epolicy Orchestrator verwaltet wird, haben Sie die Möglichkeit, Richtlinien zu erstellen und diese unabhängig von der Vererbung zuzuweisen. Wenn Sie diesen Vererbungsmechanismus durch Zuweisen einer neuen Richtlinie unterbrechen, erben alle untergeordneten Systeme diese neue Richtlinie. Richtlinieneigentümerschaft Jede Richtlinie muss einem Eigentümer zugewiesen sein. Die Eigentümerschaft stellt sicher, dass niemand außer dem globalen Administrator, dem Urheber der Richtlinie oder der als Eigentümer der Richtlinie angelegten Person die Richtlinie ändern kann. Jeder Administrator kann alle Richtlinien im Katalog verwenden; ändern kann sie jedoch nur der Urheber, der Eigentümer oder der globale Administrator. TIPP: Anstelle die Richtlinie eines anderen Administrators zu nutzen, empfiehlt es sich, die Richtlinie zu kopieren und dann die Kopie zuzuweisen. Wenn Sie eine Richtlinie, deren Eigentümer nicht Sie sind, einem Knoten der von Ihnen verwalteten Systemstruktur zuweisen und der Eigentümer der Richtlinie diese ändert, gelten diese Änderungen für alle Systeme, denen diese Richtlinie zugewiesen wurde. Host IPS-Richtliniennachverfolgung und Abstimmung Die Ausbringung und Verwaltung von Host Intrusion Prevention-Clients werden von epolicy Orchestrator verarbeitet. In der epo-konsolenstruktur können Sie Systeme hierarchisch nach Attributen gruppieren. Sie können z. B. eine erste Ebene nach geografischem Standort und eine zweite Ebene nach Betriebssystemplattform oder nach IP-Adresse gruppieren. Es wird empfohlen, Systeme in Gruppen basierend auf Host Intrusion Prevention-Konfigurationskriterien anzuordnen, beispielsweise nach Systemtyp (Server oder Desktop), Nutzung wichtiger Anwendungen (Web, Datenbank oder Mail-Server) oder strategischem Standort (DMZ oder 10

11 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung Internet). Sie können Clients mit einem gemeinsamen Verwendungsprofil innerhalb der Konsolenstruktur in einer gemeinsame Gruppe platzieren. Sie können auch eine Gruppe nach diesem Verwendungsprofil benennen, z. B. Web-Server. Bei Verwendung der genannten Konsolenstruktur mit einer Gruppierung nach Typ, Funktion oder geografischem Standort können Sie die zugehörigen Verwaltungsfunktionen analog zu dieser Gruppierung aufteilen. Mit Host Intrusion Prevention können Sie die Verwaltungsaufgaben basierend auf Produktfunktionen, wie IPS oder Firewall, aufteilen. Die Ausbringung von Host Intrusion Prevention auf Tausenden von Computern ist einfach zu verwalten, da die meisten Clients wenigen Anwendungsprofilen zugeordnet werden können. Die Verwaltung einer großen Ausbringung reduziert sich auf die Verwaltung einiger weniger Richtlinienregeln. Mit der Erweiterung der Ausbringung sollten neu hinzugefügte Systeme einem oder mehreren vorhandenen Profilen zugeordnet werden. Sie können dann einfach unter den entsprechenden Gruppenknoten in der Konsolenstruktur platziert werden. Vordefinierter Schutz Host Intrusion Prevention bietet zwei Arten von Schutz: Der Basisschutz besteht bereits durch die Einstellungen der McAfee-Standardrichtlinie. Für diesen Schutz ist praktisch keine Optimierung erforderlich und er verursacht nur wenige Ereignisse. Dieser Basisschutz kann für viele Umgebungen bereits ausreichend sein. Auch ein erweiterter Schutz steht in Form vorkonfigurierter IPS- und Firewall-Richtlinien zur Verfügung, oder durch das Erstellen benutzerdefinierter Richtlinien. Server benötigen z. B. über den Basisschutz hinausgehende Schutzmechanismen. In beiden Szenarien ist ein gewisser Grad an Optimierung der Schutzeinstellungen zur Anpassung an die tatsächliche Arbeitsumgebung erforderlich. Adaptiver Modus Um die Schutzeinstellungen noch feiner abzustimmen, können Host Intrusion Prevention-Clients auf Client-Seite Ausnahmeregeln für Server-Richtlinien erstellen, die berechtigte Aktivitäten blockieren. Das Erstellen von Client-Regeln ist erlaubt, wenn Clients in den adaptiven Modus versetzt werden. Im adaptiven Modus werden Client-Regeln erstellt, ohne dass der Benutzer eingreifen muss. Nach dem Erstellen der Client-Regeln prüfen Sie diese sorgsam, und entscheiden Sie, welche der Regeln in Server-Richtlinien umgewandelt werden sollen. In großen Unternehmen geht es häufig noch vor der Berücksichtigung von Sicherheitsbelangen vorrangig um einen störungsfreien Geschäftsablauf. Regelmäßig müssen z. B. neue Anwendungen auf bestimmten Client-Computern installiert werden, und Sie haben möglicherweise weder die Zeit, noch die Ressourcen, um umgehend eine Abstimmung vornehmen zu können. Mit Host Intrusion Prevention können bestimmte Clients für den IPS-Schutz in den adaptiven Modus versetzt werden. Diese Computer erstellen das Profil einer neu installierten Anwendung und leiten die erstellten Client-Regeln an den epolicy Orchestrator-Server weiter. Der Administrator kann diese Client-Regeln auf vorhandene oder neue Richtlinien übertragen und dann die Richtlinie auf andere Computer anwenden, um die neue Software zu verwalten. Systeme im adaptiven Modus verfügen über praktisch keinen Schutz, daher sollte der adaptive Modus nur zur Optimierung einer Umgebung genutzt werden und dann deaktiviert werden, um den Schutz des Systems zu erhöhen. Optimierung Als Teil der Ausbringung von Host Intrusion Prevention müssen Sie einige eindeutige Profile bestimmen und für sie Richtlinien erstellen. Dies erreichen Sie am besten, wenn Sie eine 11

12 Über Host Intrusion Prevention Host IPS-Richtliniennachverfolgung und Abstimmung Testausbringung einrichten und dann damit beginnen, die Zahl der falsch-positiven und generierten Ereignisse zu verringern. Dieser Vorgang wird Abstimmung oder Tuning genannt. Striktere IPS-Regeln zielen auf eine Reihe von Verletzungen ab und generieren daher mehr Ereignisse als in einer Basisumgebung auftreten würden. Wenn Sie den erweiterten Schutz anwenden, wird die Verwendung der IPS-Schutzrichtlinie empfohlen, um die Auswirkungen zu staffeln. Dazu gehört die Zuordnung jeder Sicherheitsebene (Hoch, Mittel, Niedrig und Information) zu einer Reaktion (Verhindern, Protokollieren, Ignorieren). Indem zunächst alle Sicherheitsebenen mit Ausnahme von "Hoch" auf "Ignorieren" gesetzt werden, werden nur die Sicherheitssignaturen von "Hoch" angewendet. Die anderen Ebenen können nach und nach bei der Abstimmung erhöht werden. Sie können die Zahl der falsch-positiven Ergebnisse verringern, indem Sie Ausnahmeregeln, vertrauenswürdige Anwendungen und Firewall-Regeln erstellen. Ausnahmeregeln sind Mechanismen für das Außerkraftsetzen einer IPS-Signatur unter bestimmten Umständen. Vertrauenswürdige Anwendungen sind Anwendungsprozesse, die alle IPS oder Firewall-Regeln umgehen. Firewall-Regeln bestimmen, ob Datenverkehr zulässig ist und ob die Paketübertragung erlaubt oder blockiert wird. Dashboards und Abfragen Dashboards ermöglichen es Ihnen, durch die simultane Anzeige mehrerer Abfrageergebnisse Ihre Umgebung zu sichten. Diese Abfragen können fortlaufend aktualisiert werden oder mit einer bestimmten Häufigkeit ausgeführt werden. Abfragen ermöglichen es Ihnen, Daten über ein bestimmtes Element abzurufen, die sich dann nach einer bestimmten Untermenge filtern lassen, z. B. Ereignisse der Ebene "Hoch", die von bestimmten Clients für eine bestimmte Zeitspanne berichtet werden. Berichte können als -Nachrichten terminiert und gesendet werden. 12

13 Verwalten Ihres Schutzes Zu den Verwaltungsaufgaben in Host Intrusion Prevention gehört das Überwachen und Analysieren von Vorgängen, entsprechendes Reagieren, das Ändern und Aktualisieren von Richtlinien sowie das Ausführen systematischer Aufgaben. Inhalt Informationsverwaltung Richtlinienverwaltung Systemverwaltung Informationsverwaltung Nach der Installation von Host Intrusion Prevention können Sie Sicherheitsprobleme aus der Umgebung nachverfolgen und dazu Berichte erstellen. Mit Dashboards erhalten Sie eine tägliche Übersicht über die Sicherheitssituation und können mittels Abfragen Einzelheiten zu konkreten Problemen ermitteln. Host IPS-Dashboards Dashboards, eine Zusammenstellung von Monitoren, spielen bei der Verwaltung der Umgebung eine wichtige Rolle. Monitore umfassen Diagrammabfragen bis zu kleinen Web-Anwendungen, beispielsweise MyAvert Threat Service. Entsprechende Berechtigungen vorausgesetzt, können Sie mehrere Dashboards erstellen und bearbeiten. Als Dashboard, das nach einer festgelegten Zeitspanne aktualisiert wird, lassen sich beliebige Diagrammabfragen verwenden. Solche "Live"-Dashboards sind daher für besonders nützliche Abfragen geeignet. Host Intrusion Prevention beinhaltet zwei Standard-Dashboards mit folgenden Monitoren: Tabelle 1: Dashboards und Monitore in Host IPS Dashboard Monitore Host IPS Firewall-Status Host IPS-Status Dienststatus Zähler für IPS-Client-Regeln Content-Versionen Top 10 der NIPS-Ereignisse nach Quell-IP Ausgelöste Signaturen von Host IPS Desktop, ausgelöste Signaturen (Hoch) Desktop, ausgelöste Signaturen (Mittel) Desktop, ausgelöste Signaturen (Niedrig) Server, ausgelöste Signaturen (Hoch) 13

14 Verwalten Ihres Schutzes Informationsverwaltung Dashboard Monitore Server, ausgelöste Signaturen (Mittel) Server, ausgelöste Signaturen (Niedrig) Weitere Informationen zur Erstellung und Nutzung von Dashboards erhalten Sie in der Dokumentation zu epolicy Orchestrator. Host IPS-Abfragen Host Intrusion Prevention bietet Abfragefunktionen mittels epolicy Orchestrator. Nützliche Abfragen lassen sich entweder aus Ereignissen und Eigenschaften erstellen, die in der epo-datenbank gespeichert sind, oder Sie können vordefinierte Abfragen verwenden. Sie können Abfragen für eine Gruppe ausgewählter Client-Systeme erstellen oder die Berichtsergebnisse nach Produkt- oder Systemkriterien einschränken. Sie können Berichte in diversen Dateiformaten eportieren, auch in HTML- und Microsoft Ecel-Dateien. Abfrageoptionen: Festlegen eines Verzeichnisfilters, um nur ausgewählte Informationen zu sammeln. Auswählen, welche Gruppen oder Tags in den Bericht aufgenommen werden sollen. Festlegen eines Datenbankfilters, in dem Sie mithilfe logischer Operatoren präzise Filterkriterien für die Berichtsdaten definieren. Erstellen grafischer Berichte anhand von Informationen aus der Datenbank, Filtern, Drucken und Eportieren von Berichten in andere Softwareanwendungen. Ausführen von Abfragen nach Computern, Ereignissen und Installationen. Vordefinierte und benutzerdefinierte Abfragen zur Analyse Ihres Schutzes Die Berichtsfunktion enthält vordefinierte Abfragen aus Host Intrusion Prevention und ermöglicht Ihnen das Erstellen benutzerdefinierter Abfragen. Diese können individuell verwaltet und angeordnet werden. Wenn Sie beispielsweise die Einstellungen für einen Bericht anpassen, können Sie diese Einstellungen als Vorlage eportieren. Nachdem Sie eine benutzerdefinierte Vorlage erstellt haben, ordnen Sie diese so an, dass sie je nach Bedarf täglich, wöchentlich oder monatlich ausgeführt werden kann. Nachdem ein Bericht generiert wurde, wird die in dem von Ihnen gegebenenfalls angegebenen Filter festgelegte Zusammenfassung angezeigt. Ausgehend von der Zusammenfassung können Sie im gleichen Bericht auf die eine oder zwei Ebenen tiefer liegenden ausführlichen Informationen herunterbrechen. Sie können die Sichtbarkeit von Berichtsinformationen für unterschiedliche Benutzer festlegen, beispielsweise für globale Administratoren gegenüber Site-Administratoren. Einige Benutzer können nur auf Systemen, auf denen sie entsprechende Berechtigungen haben, Berichte einsehen. Die Berichtsinformationen werden auch durch das Anwenden von Filtern gesteuert. Benutzerdefinierte Abfragen Mit dem Abfrage-Generator lassen sich vier Host IPS-Abfragen erstellen: Host IPS 8.0 Firewall-Client-Regeln, Host IPS 8.0 Ausführbare Dateien für Firewall-Client-Regeln, Host IPS 8.0 IPS-Client-Regeln und Host IPS 8.0 IPS-Ausnahmen. 14

15 Verwalten Ihres Schutzes Informationsverwaltung Parameter für diese Abfragen sind: Tabelle 2: Host IPS-Abfragen und -Parameter Abfrage Host IPS 8.0-Katalog-Firewall-Regeln und Firewall-Client-Regeln Parameter Aktion Richtung HINWEIS: Diese Abfrage gibt IPS-Katalog-Firewall-Regeln, IPS-Katalog-Firewall-Gruppen und Aktiviert Letzte Änderung Firewall-Client-Regeln zurück. Mögliche Zuletzt geändert von Aktionswerte sind zulassen, blockieren und springen. Springen gilt für Gruppen, die nicht über Endknoten-ID die Aktion zum Zulassen bzw. Blockieren verfügen. Lokale Dienste Bei IPS-Katalogregeln und -gruppen ist der Filter Protokollstatus leafnodeid auf 0 gesetzt. Um nur Firewall-Client-Regeln anzuzeigen, setzen Sie den IP-Protokoll Filter auf > 0. Intrusionsübereinstimmung Medientyp Name Hinweis Remote-Dienste Regel-ID Zeitplanende Zeitplanstart Wechseln bei Ablauf Transportprotokoll Ausführbare Dateien für Host IPS 8.0-Firewall-Client-Regeln Fingerabdruck Name Hinweis Pfad Regel-ID Name des Unterzeichnenden Host IPS 8.0 IPS-Client-Regeln Erstellt am Beschreibung Name der ausführbaren Datei Pfad der ausführbaren Datei Fingerabdruck Vollständiger Name der ausführbaren Datei Alle ausführbaren Dateien einschließen Alle Signaturen einschließen Alle Benutzer einschließen Datum der letzten Änderung Lokale Version Reaktion Signatur-ID Name des Unterzeichnenden Status Benutzername Host IPS 8.0-IPS-Ausnahmen IPS-Ausnahmeregeln 15

16 Verwalten Ihres Schutzes Informationsverwaltung Abfrage Parameter Richtlinie für IPS-Regeln Gemeinsame Host IPS-Eigenschaften Folgende Host IPS-Eigenschaften können in benutzerdefinierte Abfragen von Host IPS und sonstige benutzerdefinierte Abfragen eingeschlossen werden: Agenten-Typ Blockierte Angreifer Sprache Client-Version Status des adaptiven IPS-Modus Anzahl lokaler Ausnahmeregeln Content-Version Netzwerk-IPS-Status Status des adaptiven Firewall-Modus Ausstehender Neustart Firewall-Fehler (Fehler) Plug-In-Version Status des Firewall-Lernmodus (Eingehend) Status des Firewall-Lernmodus (Ausgehend) Produktstatus Ausgeführter Dienst Hotfi/Patch-Version Anzahl Firewall-Regeln Produktversion Firewall-Status Service Pack Host IPS-Fehler (Fehler) Host IPS-Ereignisinfo (ausgeblendet, Host IPS-Status gelesen) Installationsverzeichnis Signaturname Vordefinierte Abfragen Neben benutzerdefinierten Abfragen gibt es eine Reihe bereits definierter Abfragen, die sie im Originalzustand verwenden oder wunschweise bearbeiten können. Folgende vordefinierte Abfragen stehen in Host IPS zur Auswahl: HIP-Abfrage Client-Regeln anhand von Prozessen Client-Regeln anhand von Prozessen/Port-Bereichen Client-Regeln anhand von Prozessen/Benutzern Client-Regeln anhand von Protokoll-/Systemnamen Client-Regeln anhand von Protokollen/Port-Bereichen Client-Regeln anhand von Protokollen/Prozessen Client-Versionen Ausstehende Client-Neustarts Zusammenfassung Zeigt Firewall-Client-Regeln nach Prozess an. Zeigt Firewall-Client-Regeln nach Prozess und Port-Bereich an. Zeigt Firewall-Client-Regeln nach Prozess und Benutzer an. Zeigt Firewall-Client-Regeln nach Protokoll- und Systemnamen an. Zeigt Firewall-Client-Regeln nach Protokoll und Port-Bereich an. Zeigt Firewall-Client-Regeln nach Protokoll und Prozess an. Zeigt die obersten drei Client-Versionen mit einer einzelnen Kategorie für alle anderen Versionen an. Zeigt verwaltete Systeme an, auf denen Host IPS bereitgestellt wurde und das System neu gestartet werden muss. 16

17 Verwalten Ihres Schutzes Richtlinienverwaltung HIP-Abfrage Content-Versionen Zähler für FW-Client-Regeln Zähler für IPS-Client-Regeln Desktop, ausgelöste Signaturen (Hoch) Desktop, ausgelöste Signaturen (Mittel) Desktop, ausgelöste Signaturen (Niedrig) Ereignisse von vertrauenswürdigen Netzwerken von Host IPS Firewall-Fehler Firewall-Status Host IPS-Fehler Host IPS-Status IPS-Ausnahmenbericht Server, ausgelöste Signaturen (Hoch) Server, ausgelöste Signaturen (Mittel) Server, ausgelöste Signaturen (Niedrig) Dienststatus TOP 10 der IPS-Ereignisse nach Ziel Zusammenfassung Zeigt die obersten drei der Content-Versionen mit einer einzelnen Kategorie für alle anderen Versionen an. Zeigt die Anzahl an Firewall-Client-Regeln an, die im Laufe der Zeit erstellt wurden. Zeigt die Anzahl an IPS-Client-Regeln an, die im Laufe der Zeit erstellt wurden. Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad (Kritisch) an Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad (Warnung) an Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad (Hinweis) an Zeigt Ereignisse an, die von Systemen mit einem vertrauenswürdigen Netzwerk von Host IPS generiert wurden. Zeigt die verwalteten Systeme an, bei denen die Firewall per Richtlinie aktiviert wurde, aber nicht ordnungsgemäß gestartet werden konnte. Zeigt an, wo der Firewall-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist. Zeigt die verwalteten Systeme an, bei denen die IPS-Funktion per Richtlinie aktiviert wurde, aber nicht ordnungsgemäß gestartet werden konnte. Zeigt an, wo der IPS-Schutz auf verwalteten Systemen aktiviert oder deaktiviert ist. Zeigt die Richtlinien der IPS-Regel an, die IPS-Ausnahmen verwenden. Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit hohem Schweregrad (Kritisch) an Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit mittlerem Schweregrad (Warnung) an Zeigt die zehn am häufigsten ausgelösten IPS-Signaturen mit niedrigem Schweregrad (Hinweis) an Zeigt an, wo Host IPS installiert ist und ob die Anwendung auf verwalteten System ausgeführt wird oder nicht. Zeigt die Top 10 der Systeme mit den meisten IPS-Ereignissen an. Top 10 der NIPS nach Quell-IP Zeigt die Top 10 der Netzwerkangriffe nach Quell-IP-Adresse für die letzten drei Monate an. Top 10 der aufgerufenen Signaturen Zeigt die Top 10 der am häufigsten ausgelösten IPS-Signaturen an. Richtlinienverwaltung Die Verwaltung von Richtlinien besteht aus dem Konfigurieren und Anwenden von Richtlinien und der Optimierung des Schutzes hinsichtlich der Systemressourcen und -anwendungen. Ein Teil dieses Vorgangs erfordert eine Analyse von Ereignissen und Client-Regeln. 17

18 Verwalten Ihres Schutzes Richtlinienverwaltung Suchen von Richtlinien In epolicy Orchestrator werden Host Intrusion Prevention-Richtlinien an zwei Orten angezeigt und verwaltet: der Registerkarte Richtlinien (bei ausgewählten Gruppen in der Systemstruktur auf der Registerkarte Systeme Systemstruktur Richtlinien) und der Registerkarte Richtlinienkatalog (Systeme Richtlinienkatalog). Im Hinblick auf eine ausgewählte Gruppe oder ein System sind auf der Registerkarte Richtlinien folgende Vorgänge möglich: Die Richtlinien einer bestimmten Funktion des Produkts anzeigen Ausführliche Richtlinieninformationen anzeigen Informationen zur Vererbung einsehen Richtlinienzuweisungen bearbeiten Benutzerdefinierte Richtlinien bearbeiten Auf der Registerkarte Richtlinienkatalog können Sie: Richtlinien erstellen Richtlinieninformationen anzeigen und bearbeiten Die Zuweisung einer Richtlinie ermitteln Einstellungen und Eigentümer einer Richtlinie anzeigen Zuweisungen mit deaktivierter Richtlinienerzwingung anzeigen Zweck Erstellen einer Richtlinie Bearbeiten einer Richtlinie Anzeigen einer Richtlinie Umbenennen einer Richtlinie Duplizieren einer Richtlinie Löschen einer Richtlinie Vorgehensweise Klicken Sie auf Neue Richtlinie, geben Sie ihr einen Namen, und bearbeiten Sie die Einstellungen. Klicken Sie auf Bearbeiten (nur für Standard- oder vorkonfigurierte Richtlinien verfügbar). Klicken Sie auf Ansicht (nur für McAfee-Standard- oder vorkonfigurierte Richtlinien verfügbar). Klicken Sie auf Umbenennen, und ändern Sie den Namen der Richtlinie (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). Klicken Sie auf Duplizieren, bearbeiten Sie den Namen der Richtlinie und deren Einstellungen. Klicken Sie auf Löschen (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). HINWEIS: Wenn Sie eine Richtlinie löschen, dann übernehmen alle Gruppen, auf die diese Richtlinie aktuell angewendet wird, von ihrem übergeordneten Element die Richtlinie der betreffenden Kategorie. Wenn die Richtlinie des übergeordneten Elements nach dem Löschen nicht vererbt werden soll, prüfen Sie vor dem Löschen einer Richtlinie sämtliche Systeme, denen diese zugewiesen ist, und weisen Sie den Systemen eine andere Richtlinie zu. Wenn Sie eine Richtlinie löschen, die auf oberster Ebene angewendet wird, wird anschließend die Standardrichtlinie der entsprechenden Kategorie angewendet. Zuweisen eines Richtlinieneigentümers Klicken Sie auf den Eigentümer der Richtlinie, und wählen Sie einen anderen Eigentümer aus der Liste aus (nicht verfügbar für Standard- oder vorkonfigurierte Richtlinien). Eportieren einer Richtlinie Eportieren aller Richtlinien Klicken Sie auf Eportieren, geben Sie einen Namen ein, und speichern Sie die Richtlinie (eine ML-Datei) am gewünschten Speicherort. Klicken Sie auf Alle Richtlinien eportieren, geben Sie einen Namen ein, und speichern Sie die ML-Richtliniendatei am gewünschten Speicherort. 18

19 Verwalten Ihres Schutzes Richtlinienverwaltung Zweck Importieren von Richtlinien Vorgehensweise Klicken Sie oben auf der Richtlinienkatalogseite auf Importieren, wählen Sie die ML-Richtliniendatei aus, und klicken Sie auf OK. Einzelheiten zu diesen Funktionen finden Sie in der Dokumentation von epolicy Orchestrator. Konfigurieren von Richtlinien Nach der Installation der Software von Host Intrusion Prevention empfiehlt sich, diese so zu konfigurieren, dass sie ohne Beeinträchtigung täglicher Routineaufgaben den größtmöglichen Schutz bietet. Die Standardrichtlinien von Host Intrusion Prevention wurden für eine Vielzahl an Umgebungen konzipiert und erfüllen sicher auch Ihre Anforderungen. Um Richtlinien entsprechend den individuelle Einstellungen zu optimieren, empfehlen sich folgende Vorgehensweisen: Entwerfen Sie eine genaue Host Intrusion Prevention-Sicherheitskonfiguration. Schätzen Sie ein, wer für die Konfiguration bestimmter Teile des Systems verantwortlich ist, und gewähren Sie den entsprechenden Zugriff. Ändern Sie die standardmäßigen Richtlinien für den IPS-Schutz oder die Firewall-Regeln, die höhere Ebenen voreingestellter Schutzmaßnahmen bieten. Ändern Sie den Schweregrad bestimmter Signaturen. Wenn beispielsweise eine Signatur durch die tägliche Arbeit von Benutzern ausgelöst wird, verringern Sie den Schweregrad. Konfigurieren Sie Dashboards, um einen schnellen Überblick über Compliance und bestehende Probleme zu erhalten. Konfigurieren Sie Benachrichtigungen, damit bei bestimmten Ereignissen zuständige Mitarbeiter benachrichtigt werden. Beispiel: Eine Benachrichtigung kann gesendet werden, wenn auf einem bestimmten Server eine Aktivität ein Ereignis der Stufe "Hoch" auslöst. Erstellen einer neuen Richtlinie Um eine neue Richtlinie zu erstellen, kopieren Sie eine vorhandene Richtlinie, und geben der Kopie einen anderen Namen. Dies kann im Richtlinienkatalog oder auf einer Richtlinienseite erfolgen. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das? klicken. Führen Sie im Richtlinienkatalog einen der folgenden Schritte aus: Klicken Sie auf Neue Richtlinie. Wählen Sie die Richtlinie aus, die Sie kopieren möchten, geben Sie den neuen Namen ein, und klicken Sie auf OK. Klicken Sie auf den Link Duplizieren einer Richtlinie. Geben Sie den Namen der neuen Richtlinie ein, und klicken Sie auf OK. Klicken Sie auf den Link Anzeigen oder Bearbeiten einer Richtlinie. Klicken Sie auf der Richtlinienseite dann auf Duplizieren. Geben Sie den Namen der neuen Richtlinie ein, und klicken Sie auf OK. Die kopierte Richtlinie wird angezeigt. Bearbeiten Sie sie, und klicken Sie auf Speichern. 19

20 Verwalten Ihres Schutzes Richtlinienverwaltung Ändern der Richtlinienzuweisung Mit diesem Task werden in Host Intrusion Prevention die Richtlinienzuweisungen einer Gruppe oder eines Einzelsystems aus der epolicy Orchestrator-Struktur geändert. Task Optionsbeschreibungen erhalten Sie, indem Sie in der Benutzeroberfläche auf das? klicken. Führen Sie einen der folgenden Vorgänge aus: Bei einer Gruppe wechseln Sie zu Systeme Systemstruktur, und wählen Sie eine Gruppe aus. Klicken Sie anschließend auf der Registerkarte Richtlinien auf Zuweisung bearbeiten. Bei einem System wechseln Sie zu Systeme Systemstruktur, und wählen Sie eine Gruppe aus, die das System enthält. Wählen Sie auf der Registerkarte System das System und anschließend Weitere Aktionen Richtlinien auf einem einzelnen System ändern aus. Standardschutz und Optimierung Host Intrusion Prevention funktioniert mit Standardrichtlinien für einen Basisschutz. Mittels benutzerdefinierter Einstellungen durch manuelle oder automatische Optimierung lässt sich die Schutzwirkung weiter erhöhen. Standardschutz Host Intrusion Prevention wird mit einem Satz an Standardrichtlinien geliefert, die einen Basisschutz für Ihre Umgebung bieten. Sowohl IPS- als auch Firewall-Schutz sind standardmäßig deaktiviert und müssen zur Erzwingung von Standardregelrichtlinien aktiviert werden. Für den erweiterten Schutz können Sie von den standardmäßigen IPS-Richtlinien zu strengeren vordefinierten Richtlinien wechseln oder benutzerdefinierte Richtlinien erstellen. Beginnen Sie mit einem Ausbringungstest, um die neuen Einstellungen zu überwachen und zu optimieren. Bei der Optimierung geht es um das Gleichgewicht zwischen Eindringungsschutz und dem Zugriff auf erforderliche Informationen und Anwendungen je nach Gruppentyp. Manuelle Optimierung Bei der manuellen Optimierung werden Ereignisse über einen bestimmten Zeitraum überwacht und Client-Regeln erstellt. Beim IPS-Schutz werden Ereignisse auf Falsch-Positiv-Meldungen überwacht und Regeln für Ausnahmen oder vertrauenswürdige Anwendungen erstellt, um zu verhindern, dass diese Ereignisse erneut auftreten. Beim Firewall-Schutz werden der Netzwerkverkehr überwacht und vertrauenswürdige Netzwerke hinzugefügt, um legitimen Netzwerkverkehr zuzulassen. Überwachen Sie die Auswirkungen neuer Ausnahmen, vertrauenswürdiger Anwendungen und Netzwerke. Wenn diese Regeln Falsch-Positiv-Meldungen verhindern können und gleichzeitig den Netzwerkverkehr auf ein Minimum reduzieren und legitime Aktivitäten zulassen, sollten sie Bestandteil einer neuen oder bestehenden Richtlinie werden. Wenden Sie die neue Richtlinie auf eine Reihe von Computern an, und kontrollieren Sie die Ergebnisse. 20