|
ISS RealSecure:异常干净的入侵检测(2)(1)
然后查看目前ISS站点提供的最新的升级包,你可以选择查看其中的更新技术细节内容。
然后就可以开始自动下载和升级的过程了。
程序询问我们是否安装最新版本的网络探测器,当然要了:)点击安装ISS RealSecure自动完成更新安装很方便。
然后在菜单的VIEW下面有两个比较重要的选择项目 一个是Globl Response是专门用来配置入侵检测系统的各种响应行为的地方。
通过这里我们可以了解ISS RealSecure当检测到入侵行为的时候,可以采取那些行动来进行主动响应,包括BANNER警告,阻断连接,邮件通知,利用OPSEC和防火墙进行联动工作,发送SNMP告警等等。
另外一个比较重要的就是设置入侵检测系统的检测配置文件了,就是告诉IDS需要对那些攻击时间报警,对那些东西不需要理会,比如一个Unix网络环境下我们一般就要求IDS系统不对针对WINDOWS下的攻击事件报警了,当然最合适我们所管理网络的检测规则是需要时间仔细调试的,这里面会有很长时间的误报和漏报的"拉锯战"。这其实很矛盾一个天天都在说狼来了的IDS可能会把管理员搞的很烦,最后狼真的来了的时候管理员可能是无动于衷。而一个哑巴似的IDS也不会受到管理员的欢迎。我首先是以一个检测规则为模版生成属于我的新规则,大多数入侵检测系统默认的几个检测规则都是不能编辑的,需要我们建立一个新的规则文件。
| 
