Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1107 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS just monitoring and bloc only some signatures.

keamas
Hi,
I would like to configure my IPS on the Sophos UTM 9.2 like this.
I would like to monitor the traffic with the IPS but no blocking.
But for some signatures for example hear bleed CVE-2014-0160, I would like to block traffic which matches with the signature of CVE-2014-0160.

Is it possible to configure the UTM like this? I couldn't manage this so far.
Or is there a good resource to learn more about this?


This thread was automatically locked due to age.
Parents
  • 0
    ok but thats a painful work. It would be much better if you have a database with CVE numbers and you just add the CVE number to block.

    And you need a attack which already occured before you can block it right?

    Many other vendors do it like this.
    You just update the IPS Database and you can choose the CVE number like CVE-2014-0160 and add this to a rule or create a rule for this.
Reply
  • 0
    ok but thats a painful work. It would be much better if you have a database with CVE numbers and you just add the CVE number to block.

    And you need a attack which already occured before you can block it right?

    Many other vendors do it like this.
    You just update the IPS Database and you can choose the CVE number like CVE-2014-0160 and add this to a rule or create a rule for this.
Children
No Data