Aller au contenu

Traiter les alertes IPS

Le système de prévention des intrusions (IPS) surveille le trafic réseau et répond aux menaces détectées.

Ceci empêche les attaquants d’exploiter les failles pour prendre le contrôle d’appareil locaux. Nous surveillons le trafic entrant et sortant.

Vous pouvez exclure des applications ou certains types de trafic réseau de l’inspection. Par exemple, vous pouvez autoriser des protocoles spécifiques (tels que HTTP) ou empêcher une fausse alerte IPS pour une application donnée.

Pour ceci, vous pouvez :

  • Exclure un fichier ou un dossier sur un appareil. Ceci permet d’exclure l’application des inspections IPS sortantes.
  • Exclure le trafic réseau à l’aide d’une exclusion Prévention du trafic réseau malveillant (IPS) (Windows).

Retrouvez plus d’aide sur les exclusions sur Exclusions générales.

Exclure une application sur un appareil local

Pour exclure une application des alertes IPS (détections sortantes), procédez comme suit :

  1. Allez dans Mes produits > Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.

    La boîte de dialogue Ajouter une exclusion apparaît.

  3. Dans Type d’exclusion, sélectionnez Fichier ou dossier (Windows).

  4. Dans Valeur, saisissez le chemin du fichier exécutable ou du dossier à exclure.
  5. Dans Activer pour, indiquez que l’exclusion doit être valide pour l’analyse en temps réel.
  6. Cliquez sur Ajouter.

Retrouvez plus d’aide sur Arrêt de la détection d’une application

Exclure le trafic réseau

Remarque

Ces exclusions signifient qu’IPS ne surveille pas le trafic indiqué dans l’exclusion. Vous devez configurer votre pare-feu séparément.

Pour exclure le trafic réseau, procédez de la manière suivante :

  1. Allez dans Mes produits > Paramètres généraux > Exclusions générales.
  2. Cliquez sur Ajouter une exclusion.

    La boîte de dialogue Ajouter une exclusion apparaît.

  3. Dans Type d’exclusion, sélectionnez Prévention du trafic réseau malveillant (IPS) (Windows).

  4. Utilisez les paramètres suivants pour spécifier le trafic à exclure :

    • Direction : Connexions entrantes ou sortantes.
    • Adresse distante : l’adresse d’un autre ordinateur à partir duquel ou vers lequel le trafic est dirigé.
    • Port distant : le port à partir duquel ou vers lequel le trafic est dirigé sur d’autres ordinateurs.
    • Port local : le port à partir duquel ou vers lequel le trafic est dirigé sur l’ordinateur local.

    Veuillez définir au moins une adresse ou un port.

  5. Cliquez sur Ajouter.

La plupart des connexions TCP ont comme port d’origine un numéro de port aléatoire. Nous vous recommandons d’utiliser un port local et d’ajouter des protocoles spécifiques (tels que le trafic RDP (3389) ou HTTP (80)) à votre liste d’autorisations.

Par exemple, pour autoriser les connexions RDP entre l’ordinateur de l’administrateur 10.10.10.15 et d’autres ordinateurs, utilisez les paramètres suivants :

  • Direction : Connexion entrante
  • Port local : 3389
  • Port distant : ne pas renseigner
  • Adresse distante : 10.10.10.15