要将自定义特征码应用于规则,请先将其添加到 IDS 配置文件中。

过程

  1. NSX Manager,转到安全 > IDS/IPS 和 Malware Prevention(在“策略管理”部分下)。
  2. IDS/IPS 和 Malware Prevention 页面上,转到配置文件选项卡。
  3. IDS/IPS 选项卡上,您可以选择添加新配置文件或编辑现有配置文件。请参见添加 NSX IDS/IPS 配置文件
  4. 要将自定义特征码添加到现有配置文件中,请单击三个点,然后单击编辑
  5. IDS 特征码部分中,选择自定义。显示要包含在该配置文件中的特征码数量。
  6. 要定义自定义特征码,必须在“入侵严重性”部分中包含必填的元数据字段 signature_severity。此字段必须是所有自定义特征码的一部分。此字段的可能关键字值包括:

    • 严重

    • 中等

    • 可疑

    这些特征码严重性将显示在 UI 中,并包含在 IDS 引擎的 SYSLOG 输出中。

    从第三方源导入特征码集时,不同的关键字可能表示所解决威胁的严重性。例如,Emerging Threats 使用关键字“主要”。在验证期间,此关键字将重新映射到“高”。

  7. 单击保存

结果

当命中某个规则时,您可以在监控页面上查看所执行操作的详细信息。

  1. 威胁事件监控部分中,选择 IDS/IPS

  2. 检查监控选项卡,了解是否已根据应用于 GFW 和 DFW 规则的自定义特征码检测到任何入侵。