然后查看目前ISS站点提供的最新的升级包,你可以选择查看其中的更新技术细节内容。
然后就可以开始自动下载和升级的过程了。
程序询问我们是否安装最新版本的网络探测器,当然要了:)点击安装ISS RealSecure自动完成更新安装很方便。
然后在菜单的VIEW下面有两个比较重要的选择项目 一个是Globl Response是专门用来配置入侵检测系统的各种响应行为的地方。
通过这里我们可以了解ISS RealSecure当检测到入侵行为的时候,可以采取那些行动来进行主动响应,包括BANNER警告,阻断连接,邮件通知,利用OPSEC和防火墙进行联动工作,发送SNMP告警等等。
另外一个比较重要的就是设置入侵检测系统的检测配置文件了,就是告诉IDS需要对那些攻击时间报警,对那些东西不需要理会,比如一个UNIX网络环境下我们一般就要求IDS系统不对针对WINDOWS下的攻击事件报警了,当然最合适我们所管理网络的检测规则是需要时间仔细调试的,这里面会有很长时间的误报和漏报的"拉锯战"。这其实很矛盾一个天天都在说狼来了的IDS可能会把管理员搞的很烦,最后狼真的来了的时候管理员可能是无动于衷。而一个哑巴似的IDS也不会受到管理员的欢迎。我首先是以一个检测规则为模版生成属于我的新规则,大多数入侵检测系统默认的几个检测规则都是不能编辑的,需要我们建立一个新的规则文件。
然后选中这个新生成的规则文件点击Customise来进行规则配置。
一个标准的检测规则配置是有五部分组成的,第一个分栏主要是对系统默认安装后就内置在其中的攻击检测规则,我们可以具体针对这些规则进行配置,主要是是否进行检测和如何响应的修改。
第二个分栏是连接事件检测,默认是没有任何规则的我在这里填加了一个检测所有目的端口为3389终端服务的连接行为进行记录显示。
用户自定义检测事件,也是可以自由发挥的好地方,我在这里要求对所有通过URL传递的数据进行检测发现有cmd.exe的时候就记录这个连接。