Hinzufügen von Regeln für NSX Distributed IDS/IPS und NSX Distributed Malware Prevention

Die NSX Manager-Benutzeroberfläche bietet eine gemeinsame Regeltabelle zum Hinzufügen von Regeln für NSX Intrusion Detection/Prevention (Erkennung und Verhinderung von Eindringversuchen) und NSX Malware-Schutz auf einer verteilten Firewall.

In NSX-T Data Center 3.2 kann der NSX Distributed Malware Prevention-Dienst Malware nur auf Windows-Gast-Endpoints (VMs) erkennen und verhindern.

Hinweis: Im verteilten horizontalen Datenverkehr wird Malware-Erkennung und ‑Verhinderung nur für Windows Portable Executable (PE)-Dateien unterstützt, die vom GI Thin Agent auf den Arbeitslast-VMs (Endpoints) extrahiert werden. Andere Dateikategorien werden derzeit von NSX Distributed Malware Prevention nicht unterstützt. Die maximale unterstützte Dateigröße beträgt 64 MB.

Voraussetzungen

Für NSX Malware-Schutz:

Die virtuelle Maschine für den NSX Malware-Schutz-Dienst wird auf vSphere-Hostclustern bereitgestellt, die für NSX vorbereitet sind. Eine detaillierte Anleitung finden Sie unter Bereitstellen des NSX Distributed Malware Prevention-Diensts.
Hinzufügen eines Malware-Schutzprofils.
Erstellen Sie Gruppen und fügen Sie in diesen Gruppen VMs hinzu, die Sie vor Malware schützen möchten. Sie können VMs als statische Mitglieder hinzufügen oder dynamische Mitgliedschaftskriterien definieren, die VMs als effektive Mitglieder bewerten. Eine detaillierte Anleitung finden Sie unter Hinzufügen einer Gruppe.

Für NSX IDS/IPS:

Hinzufügen eines NSX IDS/IPS-Profils.
Aktivieren Sie NSX IDS/IPS auf den vSphere-Hostclustern. (Sicherheit > IDS/IPS und Malware-Schutz > Einstellungen > Freigegeben).

Prozedur

Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Verteilte Regeln.

Klicken Sie auf Richtlinie hinzufügen, um einen Abschnitt zum Organisieren der Regeln zu erstellen.

Geben Sie einen Namen für die Richtlinie ein.

(Optional) Klicken Sie in der Richtlinienzeile auf das Zahnradsymbol, um erweiterte Richtlinienoptionen zu konfigurieren. Diese Optionen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.

Option	Beschreibung
Statusbehaftet	Eine statusbehaftete Firewall überwacht den Zustand der aktiven Verbindungen und verwendet diese Informationen, um zu ermitteln, welche Pakete die Firewall passieren dürfen.
Gesperrt	Die Richtlinie kann gesperrt werden, um zu verhindern, dass mehrere Benutzer Änderungen an denselben Abschnitten vornehmen. Wenn Sie einen Abschnitt sperren, müssen Sie einen Kommentar einfügen. Einige Rollen wie Enterprise-Administrator verfügen über Anmeldeinformationen für vollständigen Zugriff und können nicht gesperrt werden. Siehe Rollenbasierte Zugriffssteuerung.

Klicken Sie auf Regel hinzufügen und konfigurieren Sie die Regeleinstellungen.

Geben Sie einen Namen für die Regel ein.
Konfigurieren Sie die Spalten Quellen, Ziele und Dienste basierend auf dem Datenverkehr, der eine IDS-Überprüfung erfordert. IDS unterstützt für Quelle und Ziel die Gruppentypen „Generisch“ und „Nur IP-Adressen“.
Für Firewallregeln für verteilten Malware-Schutz werden diese drei Spalten nicht unterstützt. Behalten Sie die Einstellung „Alle“ bei. Sie müssen jedoch den Geltungsbereich der Regeln für verteilten Malware-Schutz einschränken, indem Sie die Gruppen in der Spalte Angewendet auf auswählen.
Wählen Sie in der Spalte Sicherheitsprofile das Profil aus, das für diese Regel verwendet werden soll.
Sie können ein NSX IDS/IPS- oder NSX Malware-Schutz-Profil auswählen, aber nicht beides. Das bedeutet, dass in einer Regel nur ein Sicherheitsprofil unterstützt wird.

Wählen Sie in der Spalte Angewendet auf eine der Optionen aus.

Option	Beschreibung
DFW	In NSX-T 3.2 unterstützen Regeln für verteilten Malware-Schutz DFW in Angewendet auf nicht. Regeln für verteilte IDS/IPS können auf DFW angewendet werden. Die IDS/IPS-Regeln werden auf Arbeitslast-VMs auf allen Hostclustern angewendet, die mit NSX IDS/IPS aktiviert sind.
Gruppen	Die Regel wird nur auf die VMs angewendet, die Mitglieder der ausgewählten Gruppen sind.

Wählen Sie in der Spalte Modus eine der Optionen aus.

Option	Beschreibung
Nur erkennen	Für den NSX Malware-Schutz-Dienst: Die Regel erkennt schädliche Dateien auf den VMs, aber es werden keine Schutzmaßnahmen durchgeführt. Das bedeutet, dass schädliche Dateien auf die VMs heruntergeladen werden. Für NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und führt keine Aktion aus.
Erkennen und verhindern	Für NSX Malware-Schutz-Dienst: Die Regel erkennt bekannte schädliche Dateien auf den VMs und blockiert sie, damit sie nicht auf die VMs heruntergeladen werden. Für den NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und verwirft den Datenverkehr oder lehnt ihn ab. Dies hängt jeweils von der Signaturkonfiguration im IDS/IPS-Profil oder in der globalen Signaturkonfiguration ab.

Option

Beschreibung

Nur erkennen

Für den NSX Malware-Schutz-Dienst: Die Regel erkennt schädliche Dateien auf den VMs, aber es werden keine Schutzmaßnahmen durchgeführt. Das bedeutet, dass schädliche Dateien auf die VMs heruntergeladen werden.

Für NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und führt keine Aktion aus.

Erkennen und verhindern

Für NSX Malware-Schutz-Dienst: Die Regel erkennt bekannte schädliche Dateien auf den VMs und blockiert sie, damit sie nicht auf die VMs heruntergeladen werden.

Für den NSX IDS/IPS-Dienst: Die Regel erkennt Eindringversuche anhand von Signaturen und verwirft den Datenverkehr oder lehnt ihn ab. Dies hängt jeweils von der Signaturkonfiguration im IDS/IPS-Profil oder in der globalen Signaturkonfiguration ab.

(Optional) Klicken Sie auf das Zahnradsymbol, um weitere Regeleinstellungen zu konfigurieren. Diese Einstellungen gelten nur für NSX Distributed IDS/IPS und nicht für NSX Distributed Malware Prevention.

Option	Beschreibung
Protokollierung	Die Protokollierung ist standardmäßig deaktiviert. Die Protokolle werden in der /var/log/dfwpktlogs.log-Datei auf ESXi-Hosts gespeichert.
Richtung	Bezieht sich auf die Richtung des Datenverkehrs aus der Sicht des Zielobjekts. EINGEHEND bedeutet, dass nur der Datenverkehr zum Objekt überprüft wird. AUSGEHEND bedeutet, dass nur der Datenverkehr vom Objekt überprüft wird. „Ein-/Ausgehend“ bedeutet, dass der Datenverkehr in beide Richtungen überprüft wird.
IP-Protokoll	Erzwingen Sie die Regel auf der Basis von IPv4, IPv6 oder beiden (IPv4-IPv6).
Protokollbezeichnung	Die Protokollbezeichnung wird im Firewallprotokoll gespeichert, wenn die Protokollierung aktiviert ist.

(Optional) Wiederholen Sie Schritt 4, um weitere Regeln in derselben Richtlinie hinzuzufügen.
Klicken Sie auf Veröffentlichen.
Die Regeln werden gespeichert und an die Hosts übertragen. Mit einem Klick auf das Diagrammsymbol können Sie Regelstatistiken für NSX Distributed IDS/IPS anzeigen.
Hinweis: Regelstatistiken für Firewallregeln für NSX Distributed Malware Prevention werden nicht unterstützt.

Ergebnisse

Wenn Dateien auf den Endpoint-VMs extrahiert werden, werden Dateiereignisse generiert und im Dashboard Malware-Schutz sowie im Dashboard Sicherheitsübersicht angezeigt. Wenn die Dateien schädlich sind, wird die Sicherheitsrichtlinie erzwungen. Wenn die Dateien ungefährlich sind, werden sie auf die VMs heruntergeladen.

Für mit dem IDS/IPS-Profil konfigurierte Regeln gilt: Wenn das System schädlichen Datenverkehr erkennt, generiert es ein Eindringereignis und zeigt dieses auf dem IDS/IPS-Dashboard an. Das System verwirft den Datenverkehr, lehnt ihn ab oder generiert einen Alarm dafür, je nachdem, welche Aktion Sie in der Regel konfiguriert haben.

Beispiel

Ein End-to-End-Beispiel für die Konfiguration einer Regel für die verteilte Firewall zur Malware-Erkennung und ‑Verhinderung auf VM-Endpoints finden Sie unter Beispiel: Hinzufügen von Regeln für NSX Distributed Malware Prevention.

Nächste Maßnahme

Überwachen und analysieren Sie Dateiereignisse auf dem Dashboard Malware-Schutz. Weitere Informationen finden Sie unter Überwachen von Dateiereignissen.

Über das IDS/IPS-Dashboard können Sie Eindringereignisse überwachen und analysieren. Weitere Informationen finden Sie unter Überwachen von IDS/IPS-Ereignissen.