ISS RealSecure:异常干净的入侵检测(2)(2)
然后选中这个新生成的规则文件点击Customise来进行规则配置。
一个标准的检测规则配置是有五部分组成的,第一个分栏主要是对系统默认安装后就内置在其中的攻击检测规则,我们可以具体针对这些规则进行配置,主要是是否进行检测和如何响应的修改。
第二个分栏是连接事件检测,默认是没有任何规则的我在这里填加了一个检测所有目的端口为3389终端服务的连接行为进行记录显示。
用户自定义检测事件,也是可以自由发挥的好地方,我在这里要求对所有通过URL传递的数据进行检测发现有cmd.exe的时候就记录这个连接。
