Un perfil de prevención de malware determina las categorías de archivos que desea analizar en busca de malware y si desea que NSX-T envíe los archivos a la nube para un análisis detallado.

Puede utilizar el perfil de prevención de malware predeterminado en las reglas de firewall o agregar nuevos perfiles en función de los requisitos de sus directivas de seguridad. En el perfil, puede seleccionar las categorías de archivo que Prevención de malware de NSX debe capturar y analizar en busca de comportamiento malintencionado. El análisis de archivos se realiza de forma local en nodos de transporte de host de NSX y nodos de transporte de NSX Edge que están activados para Prevención de malware de NSX. Si opta por enviar los archivos a la nube, también se realizará un análisis detallado del archivo en la nube.

En NSX-T 3.2, algunas restricciones se aplican a las categorías de archivos que son compatibles con las reglas de firewall de prevención de malware distribuido. Para obtener más información, consulte Categorías de archivos compatibles con Prevención de malware de NSX.

Al aplicar el perfil a las reglas de prevención de malware distribuido, Prevención de malware de NSX analiza los archivos interceptados o capturados en los nodos de transporte de host. Cuando se aplica el perfil a las reglas de prevención de malware de puerta de enlace, Prevención de malware de NSX analiza los archivos interceptados o capturados en los nodos de transporte de Edge.

Puede agregar varios perfiles de prevención de malware con diferentes configuraciones y utilizar perfiles independientes en las reglas de firewall de prevención de malware distribuido y las reglas de firewall de prevención de malware de puerta de enlace. Puede utilizar un perfil diferente en las reglas de firewall de cada puerta de enlace de nivel 1 que haya activado para Prevención de malware de NSX. Por ejemplo, supongamos que tiene dos perfiles: A y B. En la configuración del perfil A, se opta por no enviar los archivos a la nube para su análisis, mientras que en el perfil B, se opta por enviar los archivos a la nube para su análisis. Utilice el perfil A para las reglas de prevención de malware distribuido y el perfil B para las reglas de prevención de malware de puerta de enlace.

Precaución: Debe tener cuidado al utilizar configuraciones de perfil de Prevención de malware diferentes o incoherentes para las reglas de Prevención de malware distribuido y las reglas de Prevención de malware de puerta de enlace, o al utilizar diferentes configuraciones de perfil en cada puerta de enlace de nivel 1 que esté activada para Prevención de malware de NSX. El uso de diferentes configuraciones de perfil puede provocar que NSX-T devuelva un veredicto diferente para un archivo en función de dónde se intercepte el archivo (nodo de transporte de host o nodo de transporte de Edge). El análisis de archivos de nube realiza una inspección profunda del contenido, incluidos los espacios aislados y las técnicas de aprendizaje automático. Esta inspección profunda de contenido puede detectar comportamientos de malware con mayor precisión. El análisis de archivos locales no tiene recursos suficientes para realizar un análisis profundo de este tipo y, por lo tanto, puede producir resultados menos precisos.

Solo puede asociar un único perfil de prevención de malware a una regla de firewall a la vez. Sin embargo, se puede asociar un solo perfil de prevención de malware a varias reglas de prevención de malware distribuido y de prevención de malware de puerta de enlace simultáneamente, si es necesario.

Requisitos previos

Configure NSX-T Data Center para Prevención de malware de NSX.

Para obtener instrucciones detalladas, consulte Preparar el centro de datos para NSX IDS/IPS y Prevención de malware de NSX.

Procedimiento

  1. En un navegador, inicie sesión con privilegios de admin en NSX Manager en https://dirección-ip-nsx-manager.
  2. Desplácese a Seguridad > IDS/IPS y prevención de malware > Perfiles > Prevención de malware.
  3. Haga clic en Agregar perfil.
  4. Introduzca un nombre para el perfil.
  5. (opcional) Introduzca una descripción para el perfil y agregue etiquetas.
  6. (Solo para reglas de prevención de malware de puerta de enlace): seleccione las categorías de archivo que desea incluir para el análisis de archivos locales y el análisis de archivos de nube. De forma predeterminada, todas las categorías están seleccionadas.
    Nota: En NSX-T Data Center 3.2, las opciones Categoría de archivo solo se aplican a las reglas de prevención de malware de puerta de enlace. Para las reglas de prevención de malware distribuido, la detección y la prevención de malware solo es posible con archivos ejecutables portátiles (PE) de Windows en endpoints invitados de Windows (máquinas virtuales). Actualmente no se admiten otras categorías de archivos para la detección y prevención de malware en las máquinas virtuales. En otras palabras, NSX-T ignora las opciones Categoría de archivo para las reglas de prevención de malware distribuido.
  7. (opcional) Desactive la casilla Enviar archivos al servicios en la nube de NSX Advanced Threat Prevention.
    De forma predeterminada, se seleccionará el análisis de archivos de nube.
  8. Haga clic en Guardar.

Resultados

Se guardará el perfil de prevención de malware y la columna Estado mostrará Correcto.

Qué hacer a continuación

Asocie este perfil a las reglas de prevención de malware de puerta de enlace o a las reglas de prevención de malware distribuido, o a ambas, en función de los requisitos de las directivas de seguridad.