Sie können NSX IDS/IPS-Profile erstellen, um Signaturen zu gruppieren, die dann auf ausgewählte Anwendungen angewendet werden können.
Ab NSX 4.1.2 können Sie auch PCAP-Dateien (Packet Capture, Paketerfassung) für Ereignisse erfassen, die für verteilte IDS/IPS ausgelöst werden. Sie können diese Funktion für alle von Ihnen erstellten Profile aktivieren. Wenn die Paketerfassungsfunktion aktiviert ist, erfasst ein Host die PCAP-Dateien, die später in die NSX Manager exportiert und von dort heruntergeladen werden können.
Die maximale Größe einer PCAP-Datei beträgt 64 KB. Insgesamt können 500.000 PCAP-Dateien für 14 Tage auf einem großen NSX Manager gespeichert werden.
Prozedur
- Navigieren Sie zu .
- Klicken Sie auf Profil hinzufügen .
- Geben Sie einen Namen für dieses Profil ein.
- (Optional) Geben Sie eine Beschreibung für das Profil ein und fügen Sie Tags hinzu.
- Wählen Sie die erforderlichen Schweregrade von Eindringversuchen aus, die Sie in das Profil einbeziehen möchten.
- (Optional) Filtern Sie Signaturen, die in das Profil einbezogen werden sollen, nach den Kriterien Angriffstypen, CVSS, Angriffsziele und Betroffene Produkte.
- Um die Paketerfassung für das Profil zu aktivieren, aktivieren Sie die Umschaltoption Paketerfassung und legen Sie die maximale Größe der PCAP-Datei und die maximalen Pakete fest, die erfasst werden können.
- Zum Ändern der Aktion für eine bestimmte Signatur klicken Sie auf Signaturen für dieses Profil verwalten und wählen Sie in der Spalte Aktion die entsprechende Aktion aus.
- (Optional) Klicken Sie auf die Umschaltfläche Nur vom Benutzer geänderte Signaturen anzeigen, um nur vom Benutzer geänderte Signaturen anzuzeigen.
- Klicken Sie auf Speichern, um das Profil zu erstellen.
Nächste Maßnahme
Erstellen Sie IDS-Regeln.