Dépanner Intrusion Prevention Service

Intrusion Prevention Service (IPS) utilise des signatures pour identifier les attaques réseau. Vous devez tenir votre base de données de signatures à jour pour protéger votre réseau des nouvelles menaces. Étant donné la constante nécessité de nouvelles signatures pour détecter les menaces émergentes, vous pouvez parfois avoir obtenir un faux positif ou un faux négatif.

Un faux positif est une application légitime classée comme menace par IPS. Pour signaler un faux positif, consultez Signaler un Faux Positif IPS.

Un faux négatif est une intrusion réelle qui n'a pas été correctement identifiée par IPS. Si vous identifiez une attaque qui n'a pas été arrêtée par IPS, consultez les sections suivantes pour prendre connaissance des procédures de dépannage.

Journaux IPS

Vous pouvez examiner les journaux IPS pour connaître l'attaque qui a été identifiée lorsqu'IPS entreprend une action :

Deny 1-Trusted 0-External tcp 10.0.1.2 198.51.100.2 55531 80 msg="ProxyDeny: HTTP Header IPS match" proxy_act="HTTP-Client.1" signature_id="1055396" severity="5" signature_name="WEB Cross-site Scripting -9" signature_cat="Web Attack" sig_vers="18.088" host="intext.nav-links.com" path="/util/intexteval.pl?action=startup" (HTTP-proxy-00)

Dans cet exemple, l'identifiant de signature est 1055396.

Tester IPS

Vous pouvez utiliser l'outil de test EICAR pour vérifier qu'IPS est activé pour la bonne stratégie et qu'il peut détecter des programmes malveillants. Pour obtenir cet outil, consultez Eicar.org.

Inspecter vos stratégies

IPS peut être activé sur n'importe quelle stratégie. Vous pouvez avoir un aperçu d'IPS dans la section Stratégies de la configuration d'Intrusion Prevention. Vous pouvez également inspecter une stratégie individuelle pour vérifier si IPS est activé.

Il n'est possible de détecter des intrusions à l'intérieur d'une requête HTTPS que si la stratégie HTTPS est une stratégie de proxy et que l'inspection de contenu est activée pour la stratégie de proxy HTTPS.

Vérifier Votre Liste d'Exceptions IPS

Si vous avez configuré une exception IPS afin d'ignorer les faux positifs d'une attaque, dans certains cas, des versions légitimes de cette attaque seront également autorisées. Pour obtenir des informations sur la façon d'examiner et de configurer vos exceptions, consultez Configurer les Exceptions IPS.

Voir Également

Configurer Intrusion Prevention