Resolver Problemas de Intrusion Prevention Service

Intrusion Prevention Service (IPS) está basado en firmas de ataques de red. Debe mantener su base de datos de firmas actualizada para asegurar su red contra nuevas amenazas. Debido a la necesidad constante de firmas nuevas para detectar amenazas emergentes, ocasionalmente podría ver resultados que son falsos negativos o falsos positivos.

Un falso positivo es una aplicación legítima que es clasificada como una amenaza por el IPS. Para informar sobre un falso positivo, consulte Informar un Falso Positivo de IPS.

Un falso negativo es una intrusión verdadera que no es correctamente identificada por el IPS. Si identifica un ataque que no fue detenido por el IPS, consulte las siguientes secciones para obtener los procedimientos de resolución de problemas.

Registros del IPS

Puede examinar los registros del IPS para saber qué ataque fue identificado cuando el IPS realizó una acción:

Deny 1-Trusted 0-External tcp 10.0.1.2 198.51.100.2 55531 80 msg="ProxyDeny: HTTP Header IPS match" proxy_act="HTTP-Client.1" signature_id="1055396" severity="5" signature_name="WEB Cross-site Scripting -9" signature_cat="Web Attack" sig_vers="18.088" host="intext.nav-links.com" path="/util/intexteval.pl?action=startup" (HTTP-proxy-00)

En este ejemplo, la identificación de la firma es 1055396.

Prueba del IPS

Puede usar la herramienta de prueba EICAR para confirmar que el IPS está habilitado para la política correcta y que puede detectar malware. Para obtener esta herramienta, vaya a Eicar.org.

Inspeccionar sus Políticas

El IPS puede ser habilitado en cualquier política. Puede dar un vistazo a IPS en la sección Políticas en la configuración de Intrusion Prevention. También puede inspeccionar cualquier política individual para confirmar si el IPS está habilitado.

Las intrusiones dentro de una solicitud HTTPS no pueden ser detectadas a menos que la política para HTTPS sea una política de proxy, y que la política de proxy HTTPS tenga habilitada la inspección de contenidos.

Verificar su Lista de Excepciones del IPS

Si ha configurado una excepción del IPS para el bypass de resultados de falsos positivos para un ataque, en algunos casos también se permitirán los ejemplos legítimos de ese ataque. Para obtener información sobre cómo examinar y configurar sus excepciones, consulte Configurar Excepciones del IPS.

Ver También

Configurar Intrusion Prevention