Un profil de protection contre les programmes malveillants détermine les catégories de fichiers que vous souhaitez analyser pour les programmes malveillants et si vous souhaitez NSX-T envoyer les fichiers vers le cloud pour une analyse détaillée.

Vous pouvez utiliser le profil de protection contre les programmes malveillants par défaut dans vos règles de pare-feu ou ajouter de nouveaux profils en fonction des exigences de vos stratégies de sécurité. Dans le profil, vous pouvez sélectionner les catégories de fichiers que la fonctionnalité de Protection contre les programmes malveillants NSX doit capturer et analyser pour comportement malveillant. L'analyse des fichiers est effectuée localement sur les nœuds de transport hôtes NSX et les nœuds de transport Edge NSX activés pour Protection contre les programmes malveillants NSX. Si vous choisissez d'envoyer les fichiers vers le cloud, une analyse détaillée des fichiers est également effectuée dans le cloud.

Dans NSX-T 3.2, certaines restrictions s'appliquent aux catégories de fichiers prises en charge pour les règles de pare-feu de protection contre les programmes malveillants distribués. Pour plus d'informations, reportez-vous au Catégories de fichiers prises en charge pour Protection contre les programmes malveillants NSX.

Lorsque vous appliquez le profil à des règles de protection contre les programmes malveillants distribués, Protection contre les programmes malveillants NSX analyse les fichiers qui sont interceptés ou capturés sur les nœuds de transport hôtes. Lorsque vous appliquez le profil à des règles de protection contre les programmes malveillants de passerelle, Protection contre les programmes malveillants NSX analyse les fichiers qui sont interceptés ou capturés sur les nœuds de transport Edge.

Vous pouvez ajouter plusieurs profils de protection contre les programmes malveillants avec différentes configurations et utiliser des profils distincts dans les règles de pare-feu de protection contre les programmes malveillants distribués et les règles de pare-feu de protection contre les programmes malveillants de passerelle. Vous pouvez utiliser un profil différent dans les règles de pare-feu de chaque passerelle de niveau 1 que vous avez activée pour Protection contre les programmes malveillants NSX. Par exemple, supposons que vous disposiez de deux profils : A et B. Dans la configuration du profil A, vous choisissez de ne pas envoyer les fichiers vers le cloud pour analyse, tandis que dans le profil B, vous choisissez d'envoyer les fichiers vers le cloud pour analyse. Vous utilisez le profil A pour les règles de protection contre les programmes malveillants distribués et le profil B pour les règles de protection contre les programmes malveillants de passerelle.

Attention : Vous devez être prudent lorsque vous utilisez des configurations de profil de protection contre les programmes malveillants différentes ou incohérentes pour les règles de protection contre les programmes malveillants distribués et les règles de protection contre les programmes malveillants de passerelle, ou lors de l'utilisation de différentes configurations de profil sur chaque passerelle de niveau 1 activée pour Protection contre les programmes malveillants NSX. L'utilisation de configurations de profil différentes peut pousser NSX-T à renvoyer un verdict différent pour un fichier en fonction de l'emplacement dans lequel le fichier est intercepté (nœud de transport hôte ou nœud de transport Edge). L'analyse des fichiers cloud effectue une inspection approfondie du contenu, notamment des techniques de sandboxing et d'apprentissage automatique. Cette inspection approfondie du contenu peut détecter les comportements des programmes malveillants avec une plus grande précision. L'analyse de fichiers locaux ne dispose pas de ressources suffisantes pour effectuer une analyse aussi approfondie et peut donc produire des résultats moins précis.

Vous ne pouvez joindre qu'un seul profil de protection contre les programmes malveillants à une règle de pare-feu à la fois. Cependant, un seul profil de protection contre les programmes malveillants peut être associé à plusieurs règles de protection contre les programmes malveillants distribués et à plusieurs règles de protection contre les programmes malveillants de passerelle simultanément, si nécessaire.

Conditions préalables

Configurez votre NSX-T Data Center pour la Protection contre les programmes malveillants NSX.

Pour des instructions détaillées, reportez-vous à la section Préparation du centre de données pour NSX IDS/IPS et Protection contre les programmes malveillants NSX.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Profils > Protection contre les programmes malveillants.
  3. Cliquez sur Ajouter un profil.
  4. Entrez le nom du profil.
  5. (Facultatif) Entrez une description pour le profil et ajoutez des balises.
  6. (Uniquement pour les règles de protection contre les programmes malveillants de la passerelle) : sélectionnez les catégories de fichiers à inclure pour l'analyse de fichiers locaux et l'Analyse de fichier cloud. Par défaut, toutes les catégories sont sélectionnées.
    Note : Dans NSX-T Data Center 3.2, les options Catégorie de fichier s'appliquent uniquement aux règles de protection contre les programmes malveillants de passerelle. Pour les règles de protection contre les programmes malveillants distribués, la détection des programmes malveillants et la protection contre ces programmes sont prises en charge uniquement pour les fichiers exécutables portables Windows (PE) sur des points de terminaison invités Windows (VM). Les autres catégories de fichiers ne sont actuellement pas prises en charge pour la détection des programmes malveillants et la protection contre ces programmes sur les machines virtuelles. En d'autres termes, NSX-T ignore les options Catégorie de fichier pour les règles de protection contre les programmes malveillants distribués.
  7. (Facultatif) Décochez la case Envoyer des fichiers au service cloud NSX Advanced Threat Prevention.
    Par défaut, l'analyse des fichiers cloud est sélectionnée.
  8. Cliquez sur Enregistrer.

Résultats

Le profil de protection contre les programmes malveillants est enregistré et la colonne État affiche Réussi.

Que faire ensuite

Attachez ce profil à des règles de protection contre les programmes malveillants de passerelle ou à des règles de protection contre les programmes malveillants distribués, ou aux deux, en fonction des exigences de vos stratégies de sécurité.