Para aplicar firmas personalizadas a las reglas, agréguelas a los perfiles de IDS.

Procedimiento

  1. En NSX Manager vaya a Seguridad > IDS/IPS y Malware Prevention (en la sección Administración de directivas).
  2. En la página IDS/IPS y Malware Prevention, vaya a la pestaña Perfiles.
  3. En la pestaña IDS/IPS, puede agregar un nuevo perfil o editar uno existente. Consulte Agregar un perfil de NSX IDS/IPS.
  4. Para agregar firmas personalizadas a un perfil existente, haga clic en los tres puntos y, a continuación, en Editar.
  5. En la sección Firmas de IDS, seleccione Personalizado. Muestra el número de firmas que se incluirán en ese perfil.
  6. Para definir una firma personalizada, es esencial incluir el campo de metadatos obligatorio signature_severity en la sección Gravedad de las intrusiones. Este campo debe formar parte de todas las firmas personalizadas. Los posibles valores de palabra clave para este campo son:

    • Crítico

    • Alto

    • Mediano

    • Bajo

    • Sospechoso

    Estas gravedades de firma se mostrarán en la interfaz de usuario y se incluirán en la salida de SYSLOG del motor de IDS.

    Al importar conjuntos de firmas de fuentes de terceros, diferentes palabras clave pueden representar la gravedad de la amenaza que se está abordando. Por ejemplo, Amenazas emergentes utiliza la palabra clave "Principal". Durante la validación, esta palabra clave se reasignará a "Alto".

  7. Haga clic en Guardar.

Resultados

Cuando se cumple una regla, podrá ver los detalles de la acción realizada en la página Supervisión.

  1. En la sección Supervisión de eventos de amenazas, seleccione IDS/IPS.

  2. Compruebe la pestaña Supervisión para saber si se detectan intrusiones en función de las firmas personalizadas que se aplican a las reglas en GFW y DFW.