Ein Malware-Schutzprofil legt fest, welche Dateikategorien für Malware analysiert werden sollen und ob NSX die Dateien für eine detaillierte Analyse an die Cloud senden soll.

Sie können entweder das standardmäßige Malware-Schutzprofil in Ihren Firewallregeln verwenden oder neue Profile hinzufügen. Dies hängt jeweils von den Anforderungen Ihrer Sicherheitsrichtlinien ab. Im Profil können Sie auswählen, welche Dateikategorien NSX Malware Prevention erfassen und auf bösartiges Verhalten analysieren soll. Die Dateianalyse erfolgt lokal auf NSX-Host-Transportknoten und NSX-Edge-Transportknoten, die für NSX Malware Prevention aktiviert sind. Wenn Sie die Dateien an die Cloud senden möchten, wird auch eine detaillierte Dateianalyse in der Cloud durchgeführt.

Wenn Sie das Profil auf Regeln für verteilten Malware-Schutz anwenden, analysiert NSX Malware Prevention die Dateien, die auf den Host-Transportknoten abgefangen oder erfasst werden. Wenn Sie das Profil auf Regeln für Gateway-Malware-Schutz anwenden, analysiert NSX Malware Prevention die Dateien, die auf den Edge-Transportknoten abgefangen oder erfasst werden.

Sie können mehrere Malware-Schutzprofile mit unterschiedlichen Konfigurationen hinzufügen und separate Profile in den Firewallregeln für verteilten Malware-Schutz und für Gateway-Malware-Schutz verwenden. In den Firewallregeln von jedem Tier-1-Gateway, das Sie für NSX Malware Prevention aktiviert haben, können Sie verschiedene Profile verwenden. Angenommen, Sie verfügen über zwei Profile: A und B. In der Konfiguration von Profil A wählen Sie aus, dass die Dateien nicht zur Analyse an die Cloud gesendet werden sollen, während Sie in Profil B angeben, dass die Dateien zur Analyse an die Cloud gesendet werden sollen. Sie verwenden Profil A für Regeln für verteilten Malware-Schutz und Profil B für Regeln für Gateway-Malware-Schutz.

Vorsicht: Vorsicht ist geboten, wenn Sie für Regeln für verteilten Malware-Schutz und für Regeln für Gateway-Malware-Schutz unterschiedliche oder uneinheitliche Malware-Schutzprofilkonfigurationen verwenden oder wenn Sie verschiedene Profilkonfigurationen auf jedem für NSX Malware Prevention aktivierten Tier-1-Gateway verwenden. Die Verwendung unterschiedlicher Profilkonfigurationen könnte dazu führen, dass NSX je nachdem, wo eine Datei abgefangen wird (Host- oder Edge-Transportknoten) eine andere Bewertung für die Datei zurückgibt. Die Cloud-Dateianalyse führt eine Deep-Content-Inspektion durch. Dabei werden unter anderem Sandboxing und maschinelles Lernen angewandt. Diese Deep-Content-Inspektion kann Malware-Verhaltensweisen sicherer erkennen. Die lokale Dateianalyse verfügt nicht über ausreichende Ressourcen, um eine solche gründliche Analyse durchzuführen, und liefert daher möglicherweise weniger präzise Ergebnisse.

Sie können jeweils nur ein einziges Malware-Schutzprofil an eine Firewallregel anhängen. Ein einzelnes Malware-Schutzprofil kann jedoch, falls erforderlich, gleichzeitig an mehrere Regeln für verteilten Malware-Schutz und Gateway-Malware-Schutz angehängt werden.

Voraussetzungen

Richten Sie NSX für NSX Malware Prevention ein.

Eine detaillierte Anleitung finden Sie unter Vorbereiten des Datencenters für NSX IDS/IPS und NSX Malware Prevention.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://nsx-manager-ip-address mit admin-Rechten bei einem NSX Manager an.
  2. Navigieren Sie zu Sicherheit > IDS/IPS und Malware-Schutz > Profile > Malware-Schutz.
  3. Klicken Sie auf Profil hinzufügen .
  4. Geben Sie einen Namen für das Profil ein.
  5. (Optional) Geben Sie eine Beschreibung für das Profil ein und fügen Sie Tags hinzu.
  6. Wählen Sie die Dateikategorien aus, die für die lokale Dateianalyse und die Clouddateianalyse aufgenommen werden sollen. Standardmäßig sind alle Kategorien ausgewählt.
  7. (Optional) Deaktivieren Sie das Kontrollkästchen Dateien an NSX Advanced Threat Prevention-Clouddienst senden.
    Standardmäßig ist die Cloud-Dateianalyse ausgewählt.
  8. Klicken Sie auf Speichern.

Ergebnisse

Das Malware-Schutzprofil wird gespeichert und in der Spalte Status wird Erfolgreich angezeigt.

Nächste Maßnahme

Hängen Sie dieses Profil je nach den Anforderungen Ihrer Sicherheitsrichtlinien an Regeln für den Gateway-Malware-Schutz oder für verteilten Malware-Schutz oder an beides an.