Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=IPS-alerts

Gestione degli avvisi IPS

Il sistema di prevenzione delle intrusioni (Intrusion Prevention System, IPS) monitora il traffico di rete e risponde alle minacce rilevate.

Impedisce agli autori degli attacchi di utilizzare exploit per assumere il controllo di un dispositivo locale. Monitoriamo il traffico in entrata e in uscita.

È possibile escludere dall'ispezione applicazioni specifiche o un particolare tipo di traffico di rete. Ad esempio, si possono autorizzare protocolli specifici (come HTTP) o impedire la generazione di un falso avviso IPS per un'applicazione.

Per farlo, procedere come segue:

  • Escludere un file o una cartella su un dispositivo. In questo modo, si esclude un'applicazione dalle ispezioni IPS in uscita.
  • Escludere il traffico di rete utilizzando un'esclusione Prevenzione del traffico di rete malevolo (IPS) (Windows).

Per maggiori informazioni sulle esclusioni, vedere Esclusioni globali.

Esclusione di un'applicazione su un dispositivo locale

Per escludere un'applicazione dagli avvisi IPS (rilevamenti in uscita), procedere come segue:

  1. Aprire Prodotti > Impostazioni generali > Esclusioni globali.

  2. Cliccare su Aggiungi esclusione.

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  3. In Tipo di esclusione, selezionare File o cartella (Windows).

  4. Per Valore, immettere il percorso del file eseguibile o della cartella che si desidera escludere.
  5. In Attivo per, specificare che l'esclusione deve essere valida per la scansione in tempo reale.
  6. Cliccare su Aggiungi.

Per ulteriore assistenza, vedere Disattivazione del rilevamento di un'applicazione.

Esclusione del traffico di rete

Nota

Queste esclusioni fanno in modo che IPS non monitori il traffico che trova corrispondenza con l'esclusione. Il firewall deve essere configurato separatamente.

Per escludere il traffico di rete, procedere come segue:

  1. Aprire Prodotti > Impostazioni generali > Esclusioni globali.

  2. Cliccare su Aggiungi esclusione.

    Verrà visualizzata la finestra di dialogo Aggiungi esclusione.

  3. In Tipo di esclusione, selezionare Prevenzione del traffico di rete malevolo (IPS) (Windows).

  4. Utilizzare le seguenti impostazioni per specificare il traffico da escludere:

    • Direzione: Connessioni in entrata o in uscita.
    • Indirizzo remoto: l'indirizzo di un altro computer che riceve o da cui viene inviato traffico.
    • Porta remota: la porta che riceve o a cui viene inviato traffico su altri computer.
    • Porta locale: la porta che riceve o a cui viene inviato traffico sul computer locale.

    Occorre impostare almeno una delle opzioni per indirizzo o porta.

  5. Cliccare su Aggiungi.

La maggior parte delle connessioni TCP ha un numero di porta casuale come porta di origine. Si consiglia di utilizzare una porta locale e aggiungere all'elenco di autorizzazione protocolli specifici, come traffico RDP (3389) o HTTP (80).

Ad esempio, per autorizzare le connessioni RDP dal computer dell'amministratore di 10.10.10.15 verso altri computer, utilizzare le seguenti impostazioni:

  • Direzione: Connessione in entrata
  • Porta locale: 3389
  • Porta remota: lasciare vuoto questo campo
  • Indirizzo remoto: 10.10.10.15