Ids: Contrôle Du Fonctionnement

ChristianC

Bonjour,

Il y a-t-il une possibilité de contrôler le fonctionnement de l'IDS?

D'avance, merci pour vos réponses.

Roby Net

Il y a-t-il une possibilité de contrôler le fonctionnement de l'IDS?

A mon avis non, il a plutôt un caractère incontrôlable, il inspecte les paquets (sens, état, nombre) et rejette mécaniquement ce qui ne va pas, ce qui donne parfois des faux positifs, chez Bitdefender on peut le régler un plus fort, mais ça risque d'augmenter le taux de faux positifs, à n'utiliser qu'en terrain glissant.

ChristianC

Bonjour,

En réglant l'IDS au maximum, j'ai réussi à avoir une alerte (faux positif).

Deux remarques:

1. Le message indiqué dans les événements n'est pas correct. L'application en cause n'est pas supprimée comme indiqué (heureusement) mais arrêtée et bloquée.

2. Si on donne l'autorisation d'exécution, on ne la retrouve pas dans la partie IDS mais dans la partie antivirus. Cela ne me paraît pas logique.

Roby Net

En réglant l'IDS au maximum, j'ai réussi à avoir une alerte (faux positif).

Deux remarques:

1. Le message indiqué dans les événements n'est pas correct. L'application en cause n'est pas supprimée comme indiqué (heureusement) mais arrêtée et bloquée.

2. Si on donne l'autorisation d'exécution, on ne la retrouve pas dans la partie IDS mais dans la partie antivirus. Cela ne me paraît pas logique.

Salut,

Un IDS pour moi ça bloque ou ça laisse passer, si on autorise l'exécution et que l'antivirus enregistre une entrée, le problème me semble plutôt la signification de cette entrée.

ChristianC

Ce n'est pas l'antivirus qui a enregistré une entrée, c'est moi qui ai donné l'autorisation non pas à l'antivirus mais à l'IDS, je lui ai "dit", "OK, tu peux dorénavant autoriser".

L'antivirus n'a pas réagi (normal c'est un fichier parfaitement légitime).

Je trouve également que, même si l'autopilot est activé, Bitdefender devrait afficher un message disant que l'IDS a bloqué quelque chose (même si un nombre apparaît dans le bas du Widget).

Roby Net

"2. Si on donne l'autorisation d'exécution, on ne la retrouve pas dans la partie IDS mais dans la partie antivirus"

Qu'est ce qui est retrouvé dans la partie antivirus suite à l'autorisation d'exécution?

ChristianC

Le processus bloqué par l'IDS, processus que j'ai débloqué.

Roby Net

Le processus bloqué par l'IDS, processus que j'ai débloqué.

Lequel? ce n'est peut être pas anodin.

ChristianC

C'est un fichier tout à fait anodin d'un dictionnaire (je ne vais pas débloquer un fichier douteux).

L'IDS était réglé au maximum d'où sa réaction.

Yann A.

Bonjour ChrisCl,

Il y a effectivement une augmentation potentielle de faux positifs si l'IDS est réglé au maximum. Ce réglage n'est à faire que dans des cas très particuliers, lors de suspicions d'infection ou de compromission.

ChristianC

Bonjour -Yann-,

Je sais qu'en règlant l'IDS à un niveau plus élevé on augmente le rsique de faux positif.

Ce n'est donc pas le problème des faux positifs dont il est question ici.

Merci de (re)lire mon 2e message (mes deux remarques).

Yann A.

Bonjour ChrisCl,

Faites moi parvenir svp une copie du message qui s'affiche dans les évènements concernant l'application bloquée.

C'est normal que ces évènements apparaissent dans la partie antivirus, car cela concerne des applications. Les évènements de l'IDS concernant les applications s'affichent dans la partie antivirus, comme ceux qui concernent l'Active Virus Control, c'est une question de fonctionnement interne à Bitdefender.

ChristianC

Bonjour -Yann-

C'est normal que ces évènements apparaissent dans la partie antivirus, car cela concerne des applications.

Oui mais cela concerne non pas un détection par l'AV mais par l'IDS.

C'est un détail évidemment. Pas grave donc.

Faites moi parvenir svp une copie du message qui s'affiche dans les évènements concernant l'application bloquée.

Voici.

Note: comme vous le remarquerez, je suis passé à la version française .

Yann A.

Bonjour ChrisCl,

Merci je remonte ça aux personnes concernées.