您可以创建 NSX IDS/IPS 配置文件以对特征码进行分组,然后可将其应用于选定的应用程序。

默认 IDS 配置文件包括极高严重性,无法进行编辑。

NSX 4.1.2 开始,您还可以为针对分布式 IDS/IPS 触发的事件捕获 PCAP(数据包捕获)文件。您可以为创建的任何配置文件启用此功能。启用数据包捕获功能后,主机会捕获 PCAP 文件,稍后可以将其导出到 NSX Manager,也可以从中进行下载。

PCAP 文件的最大大小为 64 KB。在大型 NSX Manager 上,共可保存 50 万个 PCAP 文件,保存时长为 14 天。

过程

  1. 导航到 安全 > IDS/IPS 和恶意软件防护 > 配置文件
  2. 单击添加配置文件
  3. 输入此配置文件的名称。
  4. (可选) 输入配置文件的描述并添加标记。
  5. 选择要纳入此配置文件的入侵严重性
  6. (可选) 攻击类型CVSS攻击目标受影响的产品筛选要纳入配置文件的特征码。
  7. 要为配置文件启用数据包捕获,请打开数据包捕获切换开关,并设置 PCAP 文件的最大大小和可捕获的最大数据包数。
  8. 要更改针对特定特征码的操作,请单击管理此配置文件的特征码,然后在操作列中选择相应的操作。
  9. (可选) 要仅查看用户修改的特征码,请单击仅显示用户修改的特征码切换按钮。
  10. 单击保存以创建配置文件。

下一步做什么

创建 IDS 规则。