BlackICE может отслеживать информацию косвенно или непосредственно.
Косвенное отслеживание использует протоколы, которые не вступают в контакт с системой злоумышленника. Вместо этого косвенный след собирает информацию косвенно из других источников по пути к системе злоумышленника. Прямой след направляется непосредственно в систему злоумышленника, чтобы собрать необходимую информацию. Прямые следы вообще собирают более надежную информацию чем косвенные следы.
Злоумышленники не могут обнаружить никакого косвенного отслеживания. Однако прямые следы могут быть обнаружены и блокированы злоумышленником. К счастью, большинство злоумышленников не обладает достаточным опытом, чтобы блокировать прямые следы.
Вкладка BackTrace позволяет Вам устанавливать вызов косвенного или прямого обратного отслеживания. Серьезность входящего события, а не идентификация злоумышленника, вызывает обратное отслеживание.
Поскольку косвенное обратное отслеживание не вступает в контакт с системой злоумышленника, оно не дает много информации. Косвенные следы лучше всего конфигурировать для событий более низкой серьезности.
Threshold: Указывает уровень серьезности события, которое вызывает косвенное отслеживание. Например, если заданная по умолчанию серьезность события для косвенного порога следа - 3, то любое событие с серьезностью 3 или выше вызывает косвенный обратный след.
DNSLookup: Когда этот параметр выбран, BlackICE делает запрос к доступному DNS-серверу для получения информации о злоумышленнике. DNS Lookup устанавливается по умолчанию.
Поскольку прямое обратное отслеживание вступает в контакт с системой злоумышленника, то с помощью него можно получить достаточно много информации. Прямые обратные следы являются лучшими для отслеживания нападений высокой серьезности, когда Вы хотите получить наибольшее количество информации о злоумышленниках.
Threshold: Указывает уровень серьезности события, которое вызывает прямой след злоумышленника. Если заданная по умолчанию серьезность события для прямого порога следа - 6, любое событие с серьезностью 6 или выше вызывает прямое обратное отслеживание.
NetBIOS NodeStatus: Когда выбран данный параметр, BlackICE выполняет поиск NetBIOS на системе злоумышленника. Параметр NetBIOS NodeStatus установлен по умолчанию.
OK: Сохраняет установки позиций табуляции и закрывает окно BlackICE Settings.
Cancel: Закрывает окно BlackICE Settings, не сохраняя никаких изменений.
Apply: Сохраняет любые сделанные изменения, но не закрывает окно BlackICE Settings.
Help: Открывает онлайновую систему справки.
Пороговые параметры обратного отслеживания устанавливают числовой уровень серьезности, при котором BlackICE начинает отслеживание. Ниже приведенный список показывает, как BlackICE Defender категоризирует серьезность.
|
Значок |
Серьезность |
Описание |
|
|
7-10 |
Критическое событие: Это - преднамеренное нападение на Вашу систему ради уничтожения, распаковки данных, или разрушения системы. Критические события всегда вызывают меры защиты. |
|
|
4-6 |
Серьезное событие: Это - преднамеренная попытка получить информацию от Вашей системы, непосредственно ничего не повреждая. Некоторые серьезные события вызывают меры защиты. |
|
|
1-3 |
Подозрительное событие: Это - сетевая деятельность, которая немедленно не угрожает, но может указывать на то, что кто-то пытается определить местонахождение уязвимости в защите вашей системы. Например, злоумышленники часто сканируют доступные порты или сервисы, запущенные в системе перед осуществлением нападения на неё. Подозрительные события не вызывают меры защиты, и не все подозрительные события свидетельствуют об истинном нападении. |
|
|
0 |
Информационное событие: Данное событие указывает на то, что сетевое событие, произошедшее с вашим компьютером, Вам не угрожает. Информационные события не вызывают меры защиты. |
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
