Führen Sie diese Schritte aus, um benutzerdefinierte Signaturen hochzuladen und auf Regeln anzuwenden sowie den Datenverkehr vor böswilligen Angriffen zu schützen.
Auf der NSX Manager-Benutzeroberfläche können Sie ein Paket mit benutzerdefinierten Signaturen hinzufügen oder benutzerdefinierte Signaturen manuell in eine Liste mit vorhandenen Signaturen aufnehmen.
Validieren Sie die benutzerdefinierten Signaturen nach dem Hochladen. Zu den Validierungsergebnissen gehören: Gültig, Ungültig oder Warnung.
Hinweis:Wenn Signaturen als ungültig markiert sind, überprüfen Sie die Metadaten auf Fehler. Wenn beispielsweise die in der Signatur angegebene Datenverkehrsrichtung falsch ist, wird die Signatur von NSX IDS/IPS als ungültig klassifiziert. Korrigieren Sie die Metadaten und validieren Sie die Signatur erneut.
Standardmäßig sind als Warnung klassifizierte Signaturen ausgeschlossen und werden nicht veröffentlicht, es sei denn, Sie wählen die als Warnung klassifizierten Signaturen aus, die für die Transportknoten und NSX Edges veröffentlicht werden müssen.
Veröffentlichen Sie die Signaturen.
Wenden Sie nach der Veröffentlichung die benutzerdefinierten Signaturen auf Regeln für verteilte Firewalls (DFW) oder Gateway-Firewalls (GFW) an und fügen Sie sie einem NSX IDS/IPS-Profil hinzu. Bearbeiten Sie das Profil, um sowohl benutzerdefinierte als auch Systemsignaturen einzubeziehen. Nach der Veröffentlichung der Regeln werden das Profil und die Regeln basierend auf dem Geltungsbereich der Regel übertragen. Wenn eine Signaturübereinstimmung auftritt, wird ein Ereignis ausgelöst.
Hinweis:Da nur eindeutige Signaturen akzeptiert werden, ändert NSX die ursprünglichen benutzerdefinierten Signatur-IDs, indem sie an Zahlen aus einem Intervall zwischen 1 Milliarde und 2 Milliarden angehängt werden. Auf die ursprünglichen Signatur-IDs kann weiterhin über die Benutzeroberfläche oder API von NSX Manager zugegriffen werden.
Regeln für DFW oder GFW, die das IDS-Profil mit benutzerdefinierten Signaturen verwenden, sind aktiv und können auf potenzielle Bedrohungen reagieren. Wenn der Datenverkehr mit einer benutzerdefinierten Signatur übereinstimmt, generiert IDS/IPS eine Warnung, die auf der Benutzeroberflächenseite angezeigt werden kann.
Basierend auf den Details zu Eindringversuchen, wie z. B. Schweregrad, CVE, CVSS, und den von der Bedrohung betroffenen VMs, können Sicherheitsadministratoren geeignete Schritte zur Minimierung des Risikos ergreifen.
