您可以创建 NSX IDS/IPS 配置文件以对特征码进行分组,然后可将其应用于选定的应用程序。
从 NSX 4.1.2 开始,您还可以为针对分布式 IDS/IPS 触发的事件捕获 PCAP(数据包捕获)文件。您可以为创建的任何配置文件启用此功能。启用数据包捕获功能后,主机会捕获 PCAP 文件,稍后可以将其导出到 NSX Manager,也可以从中进行下载。
PCAP 文件的最大大小为 64 KB。在大型 NSX Manager 上,共可保存 50 万个 PCAP 文件,保存时长为 14 天。
过程
- 导航到 。
- 单击添加配置文件。
- 输入此配置文件的名称。
- (可选) 输入配置文件的描述并添加标记。
- 选择要纳入此配置文件的入侵严重性。
- (可选) 按攻击类型、CVSS、攻击目标和受影响的产品筛选要纳入配置文件的特征码。
- 要为配置文件启用数据包捕获,请打开数据包捕获切换开关,并设置 PCAP 文件的最大大小和可捕获的最大数据包数。
- 要更改针对特定特征码的操作,请单击管理此配置文件的特征码,然后在操作列中选择相应的操作。
- (可选) 要仅查看用户修改的特征码,请单击仅显示用户修改的特征码切换按钮。
- 单击保存以创建配置文件。
下一步做什么
创建 IDS 规则。