Le service IDS/IPS (Intrusion Detection and Prevention Service) distribué recherche toute activité suspecte du trafic réseau sur l'hôte.
Les signatures peuvent être activées en fonction de la gravité. Un score de gravité élevé indique un risque accru associé à l'événement d'intrusion. La gravité est déterminée en fonction des éléments suivants :
- Gravité spécifiée dans la signature elle-même
- Score CVSS (Common Vulnerability score System) spécifié dans la signature
- Notation type associée au type de classification
IDS détecte les tentatives d'intrusion basées sur des séquences d'instructions malveillantes déjà connues. Les modèles détectés dans les IDS sont appelés signatures. Vous pouvez définir des actions d'alerte/abandon/rejet pour une signature spécifique globalement ou par profil.
Action | Description |
---|---|
Alerte | Une alerte est générée et aucune action préventive automatique n'est effectuée. |
Annuler | Une alerte est générée et les paquets incriminés sont abandonnés. |
Refuser | Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion. |
Note : N'activez pas le service distribué de détection et de prévention des intrusions (IDS/IPS) dans un environnement qui utilise l'équilibreur de charge distribué.
NSX-T Data Center ne prend pas en charge l'utilisation d'IDS/IPS avec un équilibreur de charge distribué.
Configuration d'IDS/IPS distribué :
- Activez IDS/IPS sur les hôtes, téléchargez le dernier ensemble de signatures et configurez les paramètres de signature. Paramètres et signatures de l'IDS/IPS distribué
- Créez des profils d'IDS/IPS. Profils d'IDS/IPS distribué
- Créez des règles d'IDS/IPS. Règles d'IDS/IPS distribué
- Vérifiez l'état du service IDS/IPS sur les hôtes.