Paramètres et signatures de l'IDS distribué

NSX-T peut appliquer automatiquement des signatures à vos hôtes et mettre à jour les signatures de détection des intrusions en cochant notre service Cloud.

Le pare-feu distribué (DFW) doit également être activé pour qu'IDS fonctionne. Si le trafic est bloqué par une règle DFW, IDS ne verra pas le trafic.

La détection des intrusions peut être activée sur les hôtes autonomes en basculant la barre activée. Si des clusters VC sont détectés, IDS peut également être activé en fonction du cluster en sélectionnant le cluster et en cliquant sur activer.

Signatures

Les signatures sont appliquées aux règles d'IDS via des profils. Un profil unique est appliqué au trafic correspondant. Par défaut, NSX Manager vérifie les nouvelles signatures une fois par jour. Les nouvelles versions de mise à jour de signature sont publiées toutes les deux semaines (avec des mises à jour de jour 0 non planifiées supplémentaires). Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si Mettre à jour automatiquement de nouvelles versions est sélectionné, les signatures sont automatiquement appliquées à vos hôtes après leur téléchargement depuis le cloud. Si la mise à jour automatique est désactivée, les signatures sont arrêtées à la version répertoriée. Cliquez sur Afficher et modifier les versions pour ajouter une autre version, en plus de la version par défaut. Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.

Si un serveur proxy est configuré pour que NSX Manager accède à Internet, cliquez sur Paramètres du proxy et terminez la configuration.

Téléchargement et chargement hors ligne des signatures

Pour télécharger et charger un bundle de signatures lorsque NSX Manager ne dispose pas d'un accès à Internet :

Cette API est la première à être appelée avant le démarrage d'une communication avec le service cloud. Elle enregistre le client à l'aide de sa clé de licence et génère des informations d'identification à utiliser par le client. Envoyez toutes les licences pour obtenir les autorisations nécessaires. Le client_id est le nom attribué par l'utilisateur. Le client_secret est généré et utilisé comme demande pour l'API d'authentification. Si le client s'est déjà enregistré, mais n'a pas accès au client_id et au client_secret, il doit s'enregistrer à nouveau à l'aide de la même API.
```
POST https://api.nsx-sec-prod.com/1.0/auth/register 
   
```
Corps :
```
{
"license_keys":["xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}
```
Réponse :
```
{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
```

Cet appel d'API authentifie le client à l'aide de client_id et client_secret, et génère un jeton d'autorisation à utiliser dans les en-têtes des demandes d'API de signatures IDS. Le jeton est valide pendant 60 minutes. Si le jeton est expiré, le client doit se réauthentifier à l'aide de client_id et client_secret.

POST https://api.nsx-sec-prod.com/1.0/auth/authenticate

Corps :

{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Réponse :

{
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}

La réponse à cette commande comporte le lien du fichier ZIP. NSXCloud télécharge les signatures depuis le référentiel git Hub toutes les 24 heures et enregistre les signatures dans un fichier ZIP. Copiez et collez l'URL des signatures dans votre navigateur, le fichier ZIP sera alors téléchargé.

GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures

Dans l'onglet En-têtes, la clé d'autorisation a la valeur access_token de la réponse de l'API d'authentification.

Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg

Réponse :

{
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}

Accédez à Sécurité > IDS distribué > Paramètres. Cliquez sur Télécharger les signatures IDS dans le coin droit. Accédez au fichier ZIP de la signature enregistrée et téléchargez le fichier. Vous pouvez également télécharger le fichier ZIP de la signature à l'aide de l'appel d'API :
```
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
```