Siga estos pasos para cargar y aplicar firmas personalizadas a las reglas y proteger el tráfico contra ataques malintencionados.

  1. En la interfaz de usuario de NSX Manager, puede agregar un paquete de firmas personalizado o incluir manualmente firmas personalizadas en una lista de firmas existente.

  2. Después de la carga, valide las firmas personalizadas. Los resultados de la validación son: Válido, No válido o Advertencia.

    Nota:

    Si alguna firma se marca como no válida, compruebe si hay errores en los metadatos. Por ejemplo, si la dirección del tráfico especificada en la firma es incorrecta, NSX IDS/IPS la clasificará como no válida. Corrija los metadatos y vuelva a validar la firma.

    De forma predeterminada, las firmas de advertencia se excluyen y no se publican a menos que seleccione específicamente las firmas con advertencia que desea publicar en los nodos de transporte y las instancias de NSX Edge.

  3. Publique las firmas.

  4. Una vez publicadas, para aplicar las firmas personalizadas a las reglas de firewall distribuido (DFW) o de firewall de puerta de enlace (GFW), agréguelas a un perfil de NSX IDS/IPS. Edite el perfil para incorporar firmas personalizadas y del sistema. Después de publicar las reglas, el perfil y las reglas se insertarán en función del intervalo de la regla. Cuando se produzca una coincidencia de firma, se activará un evento.

    Nota:

    Como solo se aceptan firmas únicas, NSX modifica los identificadores de firma personalizados originales anexándolos a un rango de entre 1000 y 2000 millones. Se puede acceder a los identificadores de firma originales en la API o la interfaz de usuario de NSX Manager.

  5. Las reglas sobre DFW o GFW que utilizan el perfil de IDS que contiene firmas personalizadas estarán activas y listas para responder a posibles amenazas. Cuando el tráfico coincide con una firma personalizada, IDS/IPS genera una alerta, que se puede ver en la página de la interfaz de usuario IDS/IPS > Supervisión.

  6. En función de los detalles de la intrusión, como gravedad, CVE, CVSS y las máquinas virtuales afectadas por la amenaza, los administradores de seguridad pueden tomar los pasos adecuados para mitigar el riesgo.