Pular para o conteúdo

Lidar com alertas de IPS

O Sistema de Prevenção de Invasões (IPS) monitora o tráfego da rede e responde às ameaças detectadas.

Isso impede que um invasor use um exploit para assumir o controle de um dispositivo local. Monitoramos o tráfego de entrada e saída.

Você pode excluir o tráfego de uma rede ou aplicativos específicos da inspeção. Por exemplo, você pode permitir protocolos específicos (como HTTP) ou impedir um alerta falso de IPS de um aplicativo.

Para isso, siga este procedimento:

  • Exclua um arquivo ou pasta em um dispositivo. Isso exclui o aplicativo das inspeções IPS de saída.
  • Exclua o tráfego de rede usando uma exclusão Prevenção de tráfego de rede mal-intencionado (IPS) (Windows).

Para obter mais ajuda sobre exclusões, consulte Exclusões globais.

Excluir um aplicativo em um dispositivo local

Para excluir um aplicativo de alertas de IPS (detecções de saída), faça o seguinte:

  1. Vá para Meus produtos > Configurações gerais > Exclusões globais.
  2. Clique em Adicionar Exclusão.

    O diálogo Adicionar Exclusão é exibido.

  3. Em Tipo de exclusão, selecione Arquivos ou pasta (Windows).

  4. Em Valor, insira o caminho do executável ou pasta que deseja excluir.
  5. Em Ativo para, especifique que a exclusão deverá ser válida para a varredura em tempo real.
  6. Clique em Adicionar.

Para obter mais ajuda, consulte Parar de detectar um aplicativo.

Excluir tráfego de rede

Nota

Estas exclusões significam que o IPS não monitora o tráfego que corresponde à exclusão. Você precisa configurar o seu firewall separadamente.

Para excluir o tráfego de rede, faça o seguinte:

  1. Vá para Meus produtos > Configurações gerais > Exclusões globais.
  2. Clique em Adicionar Exclusão.

    O diálogo Adicionar Exclusão é exibido.

  3. Em Tipo de exclusão, selecione Prevenção de tráfego de rede mal-intencionado (IPS) (Windows).

  4. Utilize os seguintes ajustes para especificar qual o tráfego a excluir:

    • Direção: Conexões de entrada ou de saída.
    • Endereço remoto: O endereço de outro computador do qual o tráfego sai ou entra.
    • Porta remota: A porta pela qual o tráfego entra ou sai de outros computadores.
    • Porta local: A porta pela qual o tráfego entra ou sai de um computador local.

    Você deve definir pelo menos uma das opções de porta ou endereço.

  5. Clique em Adicionar.

A maioria das conexões TCP tem um número de porta aleatório como porta de origem. Recomendamos que você use uma porta local e adicione protocolos específicos (como tráfego RDP (3389) ou HTTP (80)) à sua lista de permissões.

Por exemplo, para permitir conexões RDP a partir do computador do administrador de 10.10.10.15 para outros computadores, use as seguintes configurações:

  • Direção: Conexão de entrada
  • Porta local: 3389
  • Porta remota: deixe em branco
  • Endereço remoto: 10.10.10.15