Zum Anwenden benutzerdefinierter Signaturen auf Regeln fügen Sie die Signaturen zu IDS-Profilen hinzu.
Prozedur
- Navigieren Sie im NSX Manager zu (im Abschnitt „Richtlinienverwaltung“).
- Navigieren Sie auf der Seite IDS/IPS und Malware Prevention zur Registerkarte Profile.
- Auf der Registerkarte IDS/IPS können Sie ein neues Profil hinzufügen oder ein vorhandenes Profil bearbeiten. Weitere Informationen finden Sie unter Hinzufügen eines NSX IDS/IPS-Profils.
- Zum Hinzufügen benutzerdefinierter Signaturen zu einem vorhandenen Profil klicken Sie auf die drei Punkte und dann auf Bearbeiten.
- Wählen Sie im Abschnitt IDS-Signaturen die Option Benutzerdefiniert aus. Die Anzahl der in diesem Profil enthaltenen Signaturen wird angezeigt.
- Zum Definieren einer benutzerdefinierten Signatur muss das obligatorische Metadatenfeld „signature_severity“ in den Abschnitt „Schweregrade von Eindringversuchen“ aufgenommen werden. Dieses Feld muss Teil aller benutzerdefinierten Signaturen sein. Die möglichen Schlüsselwortwerte für dieses Feld lauten:
Kritisch
Hoch
Mittel
Niedrig
Verdächtig
Diese Signaturschweregrade werden auf der Benutzeroberfläche angezeigt und sind in der SYSLOG-Ausgabe der IDS-Engine enthalten.
Beim Importieren von Signatursätzen aus Drittanbieterquellen können unterschiedliche Schlüsselwörter den Schweregrad der jeweiligen Bedrohung darstellen. Für „Auftretende Bedrohungen“ wird beispielsweise das Schlüsselwort „Schwer“ verwendet. Während der Validierung erfolgt eine Neuzuordnung dieses Schlüsselwort als „Hoch“.
- Klicken Sie auf Speichern.
Ergebnisse
Wenn eine Regel erreicht wird, können Sie die Details der durchgeführten Aktion auf der Seite Überwachen anzeigen.
Wählen Sie im Abschnitt Überwachung von Bedrohungsereignissen die Option IDS/IPS aus.
Überprüfen Sie die Registerkarte Überwachen auf Eindringversuche, die anhand der benutzerdefinierten Signaturen erkannt werden, die auf Regel auf der GFW und der DFW angewendet werden.
