Network Security Platform 7.0 IPS Administration Guide - McAfee

4 单击“Edit Attack Details for Attack(编辑攻击的攻击详细信息)”窗口中的“Logging(日志记录)”选项卡。
“Sensor Response(Sensor 响应)”下的“Enable Alert(启用警报)”复选框在默认情况下处于选中状态,但是您可以通
过取消选中该框来禁用针对攻击的警报。在禁用了主动攻击警报(主动检测)之后,仍然可以配置 Sensor 操作、攻击
过滤器和通知。但如果禁用警报,则不能配置记录选项。禁用攻击警报之后,检测到攻击时将不会将警报发送到
Threat Analyzer。如果设置了 Sensor 操作或其他可用操作(如攻击过滤器、通知),则会在检测到攻击时执行这些操
作。禁用警报和禁用攻击检测是两种不同的操作。
如果要在 Threat Analyzer 中分析所检测到的攻击,则应选中“Send Alert to the Manager(将警报发送到 Manager)”
框。在对攻击启用阻止和禁用警报时,请务必小心。
图 3-64 “Edit Attack Details For Attack(编辑攻击的攻击详细信息)”对话框/“Logging(日志记录)”选项卡
5 请注意“Capture 128 Bytes of Attack Data Prior to Attack(捕获攻击前的 128 个字节的攻击数据)”复选框。
默认情况下,所有检测到基于 TCP 和 UDP 的攻击最高可记录 128 字节的数据包数据,这对于接收和发送方向都是
一样的。为便于显示,Manager 会附加一个“假”的以太网报头,使其与所复制数据包的真正报头相匹配。选中
“Enable Logging(启用记录)”复选框后,将会记录更多参数。Sensor 会通过复制应用层的数据包数据并将其发送
至 Manager 来记录该数据。下面的两个字段带有各自的选项以供选择:
• “Customize Number of Bytes in Each Packet to Log(自定义每个数据包中要记录的字节数)”
• Log Entire Packet(记录整个数据包):发现攻击时记录整个数据包。
• Log First n Bytes(记录前 n 个字节):键入要记录的攻击数据包字节数。
• “Customize Flow(自定义流)”
• Single Flow(单一流):仅捕获来源到目的地的当前数据流。
• Forensic Analysis(鉴证分析)(自/至来源和自目的地的数据流):捕获所有来自来源计算机、到达来源计算机
和发自目标计算机的新数据流。
• “Duration of Logging(日志记录持续时间)”
• Attack Packet Only(仅攻击数据包):仅记录包含攻击的数据包。
• Capture n Packets(捕获 n 个数据包):键入要记录的数据包数目。
• Capture Time Duration(捕获持续时间):键入记录数据包的时间(秒、分、时或天)。
• Rest of Flow(其余数据流):记录数据流中的攻击包和所有其他包。
如何管理 IPS 设置
如何配置和管理策略 3
6 单击“Sensor Actions(Sensor 操作)”选项卡。选择 Sensor 在检测到攻击时要做出的一个或多个响应。
McAfee ® Network Security Platform 7.0 IPS 管理手册 93