Saltar al contenido
Última actualización: 2022-04-01

Gestionar alertas IPS

El sistema de prevención de intrusiones (IPS) supervisa el tráfico de la red y responde a las amenazas detectadas.

Esto evita que un atacante utilice un exploit para hacerse con el control de un dispositivo local. Supervisamos el tráfico entrante y saliente.

Puede excluir tráfico de red o aplicaciones específicos de la inspección. Por ejemplo, puede que desee permitir protocolos específicos (como HTTP) o impedir una alerta IPS falsa para una aplicación.

Para ello, haga lo siguiente:

  • Excluya un archivo o una carpeta de un dispositivo. Esto excluye una aplicación de las inspecciones IPS salientes.
  • Excluya el tráfico de red mediante una exclusión Prevención de tráfico de red malicioso (IPS) (Windows).

Para obtener más ayuda con las exclusiones, consulte Exclusiones globales.

Excluir una aplicación en un dispositivo local

Para excluir una aplicación de las alertas IPS (detecciones salientes), haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Exclusiones globales.
  2. Haga clic en Añadir exclusión.

    Se abrirá el cuadro de diálogo Añadir exclusión.

  3. En Tipo de exclusión, seleccione Archivo o carpeta (Windows).

  4. En Valor, escriba la ruta de acceso al ejecutable o la carpeta que desea excluir.
  5. En Activo para, especifique que la exclusión debe ser válida para el análisis en tiempo real.
  6. Haga clic en Añadir.

Para obtener más ayuda, consulte Dejar de detectar una aplicación.

Excluir tráfico de red

Nota

Estas exclusiones significan que IPS no supervisa el tráfico que coincide con la exclusión. Debe configurar el firewall por separado.

Para excluir tráfico de red, haga lo siguiente:

  1. Vaya a Descripción general > Configuración global > Exclusiones globales.
  2. Haga clic en Añadir exclusión.

    Se abrirá el cuadro de diálogo Añadir exclusión.

  3. En Tipo de exclusión, seleccione Prevención de tráfico de red malicioso (IPS) (Windows).

  4. Utilice la siguiente configuración para especificar el tráfico que desea excluir:

    • Dirección: Conexiones entrantes o salientes.
    • Dirección remota: La dirección de otro equipo a la que se dirige el tráfico o desde la que proviene este.
    • Puerto remoto: El puerto al que se dirige el tráfico o desde el que proviene este en otros equipos.
    • Puerto local: El puerto al que se dirige el tráfico o desde el que proviene este en el equipo local. Debe definir al menos una de las opciones de dirección o puerto.
  5. Haga clic en Añadir.

La mayoría de las conexiones TCP tienen un número de puerto aleatorio como puerto de origen. Le recomendamos que utilice un puerto local y que añada protocolos específicos (como tráfico RDP (3389) o HTTP (80)) a su lista de permitidos.

Por ejemplo, para permitir conexiones RDP desde el ordenador del administrador de 10.10.10.15 a otros ordenadores, utilice la siguiente configuración:

  • Dirección: Conexión entrante
  • Puerto local: 3389
  • Puerto remoto: déjelo en blanco
  • Dirección remota: 10.10.10.15
Volver al principio