Ein Malware-Schutzprofil legt fest, welche Dateikategorien für Malware analysiert werden sollen und ob NSX die Dateien für eine detaillierte Analyse an die Cloud senden soll.

Sie können entweder das standardmäßige Malware-Schutzprofil in Ihren Firewallregeln verwenden oder neue Profile hinzufügen. Dies hängt jeweils von den Anforderungen Ihrer Sicherheitsrichtlinien ab. Im Profil können Sie auswählen, welche Dateikategorien NSX Malware-Schutz erfassen und auf bösartiges Verhalten analysieren soll. Die Dateianalyse erfolgt lokal auf NSX-Host-Transportknoten und NSX-Edge-Transportknoten, die für NSX Malware-Schutz aktiviert sind. Wenn Sie die Dateien an die Cloud senden möchten, wird auch eine detaillierte Dateianalyse in der Cloud durchgeführt.

In NSX 4.0 gelten einige Einschränkungen dafür, welche Dateikategorien für Firewallregeln für verteilten Malware-Schutz unterstützt werden. Beginnend mit NSX 4.0.1.1 werden die Einschränkungen jedoch entfernt. Weitere Informationen finden Sie unter Für NSX Malware-Schutz unterstützte Dateikategorien.

Wenn Sie das Profil auf Regeln für verteilten Malware-Schutz anwenden, analysiert NSX Malware-Schutz die Dateien, die auf den Host-Transportknoten abgefangen oder erfasst werden. Wenn Sie das Profil auf Regeln für Gateway-Malware-Schutz anwenden, analysiert NSX Malware-Schutz die Dateien, die auf den Edge-Transportknoten abgefangen oder erfasst werden.

Sie können mehrere Malware-Schutzprofile mit unterschiedlichen Konfigurationen hinzufügen und separate Profile in den Firewallregeln für verteilten Malware-Schutz und für Gateway-Malware-Schutz verwenden. In den Firewallregeln von jedem Tier-1-Gateway, das Sie für NSX Malware-Schutz aktiviert haben, können Sie verschiedene Profile verwenden. Angenommen, Sie verfügen über zwei Profile: A und B. In der Konfiguration von Profil A wählen Sie aus, dass die Dateien nicht zur Analyse an die Cloud gesendet werden sollen, während Sie in Profil B angeben, dass die Dateien zur Analyse an die Cloud gesendet werden sollen. Sie verwenden Profil A für Regeln für verteilten Malware-Schutz und Profil B für Regeln für Gateway-Malware-Schutz.

Vorsicht: Vorsicht ist geboten, wenn Sie für Regeln für verteilten Malware-Schutz und für Regeln für Gateway-Malware-Schutz unterschiedliche oder uneinheitliche Malware-Schutzprofilkonfigurationen verwenden oder wenn Sie verschiedene Profilkonfigurationen auf jedem für NSX Malware-Schutz aktivierten Tier-1-Gateway verwenden. Die Verwendung unterschiedlicher Profilkonfigurationen könnte dazu führen, dass NSX je nachdem, wo eine Datei abgefangen wird (Host- oder Edge-Transportknoten) eine andere Bewertung für die Datei zurückgibt. Die Cloud-Dateianalyse führt eine Deep-Content-Inspektion durch. Dabei werden unter anderem Sandboxing und maschinelles Lernen angewandt. Diese Deep-Content-Inspektion kann Malware-Verhaltensweisen sicherer erkennen. Die lokale Dateianalyse verfügt nicht über ausreichende Ressourcen, um eine solche gründliche Analyse durchzuführen, und liefert daher möglicherweise weniger präzise Ergebnisse.

Sie können jeweils nur ein einziges Malware-Schutzprofil an eine Firewallregel anhängen. Ein einzelnes Malware-Schutzprofil kann jedoch, falls erforderlich, gleichzeitig an mehrere Regeln für verteilten Malware-Schutz und Gateway-Malware-Schutz angehängt werden.

Voraussetzungen

Richten Sie NSX für NSX Malware-Schutz ein.

Eine detaillierte Anleitung finden Sie unter Vorbereiten des Datencenters für NSX IDS/IPS und NSX Malware-Schutz.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://nsx-manager-ip-address mit admin-Rechten bei einem NSX Manager an.
  2. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Profile > Malware-Schutz.
  3. Klicken Sie auf Profil hinzufügen .
  4. Geben Sie einen Namen für das Profil ein.
  5. (Optional) Geben Sie eine Beschreibung für das Profil ein und fügen Sie Tags hinzu.
  6. Wählen Sie die Dateikategorien aus, die für die lokale Dateianalyse und die Clouddateianalyse aufgenommen werden sollen. Standardmäßig sind alle Kategorien ausgewählt.
    Hinweis: In NSX 4.0 gelten die Dateikategorie-Optionen nur für Gateway-Malware-Schutzregeln. Für Regeln für verteilten Malware-Schutz wird die Erkennung und Verhinderung von Malware nur für Windows Portable Executable (PE)-Dateien auf Windows-Gast-Endpoints (VMs) unterstützt. Andere Dateikategorien werden für die Erkennung und Verhinderung von Malware auf den VMs nicht unterstützt. Das bedeutet, dass NSX 4.0 die Dateikategorie-Optionen für Regeln für verteilten Malware-Schutz ignoriert.

    Ab NSX 4.0.1.1 gelten die Optionen Dateikategorie sowohl für Regeln für verteilten Malware-Schutz als auch für Gateway-Malware-Schutzregeln.

  7. (Optional) Deaktivieren Sie das Kontrollkästchen Dateien an NSX Advanced Threat Prevention-Clouddienst senden.
    Standardmäßig ist die Cloud-Dateianalyse ausgewählt.
  8. Klicken Sie auf Speichern.

Ergebnisse

Das Malware-Schutzprofil wird gespeichert und in der Spalte Status wird Erfolgreich angezeigt.

Nächste Maßnahme

Hängen Sie dieses Profil je nach den Anforderungen Ihrer Sicherheitsrichtlinien an Regeln für den Gateway-Malware-Schutz oder für verteilten Malware-Schutz oder an beides an.