Si la connectivité Internet n'est pas configurée dans votre NSX-T Data Center, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Effectuez les étapes suivantes pour télécharger les signatures en mode hors ligne et les charger sur NSX-T Data Center.

Étape 1 : Enregistrer NSX-T dans le service cloud

Utilisez l'API suivante pour enregistrer NSX-T dans le service cloud. Avant de démarrer toute communication avec le service cloud, vous devez utiliser cette API pour vous enregistrer dans le service cloud. Les clés de licence proviennent de la licence des menaces distribuées NSX et possèdent le format suivant : 00000-00000-00000-00000-00000. Si la clé de licence est valide, l'API génère et renvoie client_id, et client_secret. Les informations sur la licence sont stockées dans le cloud. Client_secret est utilisé comme demande pour l'API d'authentification. Si le client s'est déjà enregistré, mais n'a pas accès à client_id et à client_secret, il doit s'enregistrer à nouveau à l'aide de la même API.

Chemin d'accès à l'URI :

POST https://api.nsx-sec-prod.com/1.0/auth/register
Corps :
{
"license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
"device_type":"NSX-IDPS",
"client_id": "client_username"
}
Réponse :
{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Étape 2 : Authentifier NSX-T sur le service cloud

Utilisez l'API suivante pour authentifier NSX-T sur le service cloud. Cet appel d'API authentifie le client à l'aide de client_id et de client_secret. L'API génère access_token à utiliser dans les en-têtes des demandes aux API de signatures IDS. Le jeton est valide pendant 60 minutes. Si le jeton expire, le client doit se réauthentifier à l'aide de client_id et de client_secret.

Chemin d'accès à l'URI :

POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
Corps :
{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Réponse :

{
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[distributed_threat_features]"
}

Étape 3 : Récupérer le lien du fichier de bundle de signatures (ZIP)

Utilisez l'API suivante pour récupérer le lien du fichier de bundle de signatures. Cette API renvoie un lien de fichier ZIP dans la réponse. Copiez et collez le lien dans votre navigateur et téléchargez le fichier ZIP.

Chemin d'accès à l'URI :

GET https://api.nsx-sec-prod.com/2.0/intrusion-services/signatures   

Dans l'onglet En-têtes, la valeur access_token de la réponse de l'API d'authentification est attribuée à la clé d'autorisation.

Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
Réponse :
{
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}

Étape 4 : Charger le bundle de signatures dans NSX Manager

  • Méthode 1 : Effectuer le chargement à l'aide de l'interface utilisateur de NSX Manager

    Pour charger le fichier à partir de l'interface utilisateur de NSX Manager, accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > IDS/IPS, puis cliquez sur Charger les signatures IDS/IPS. Parcourez le fichier ZIP de signature enregistré et chargez le fichier.

  • Méthode 2 : Effectuer le chargement à l'aide de l'API de NSX-T

    Pour charger le fichier à l'aide de l'API NSX-T, utilisez l'API suivante.

    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures

Gestion du code d'erreur pour l'API d'authentification

Voici un exemple de réponse d'erreur d'API d'authentification :

{
"error_code":100101,
"error_message":"XXXXX"
}
  • Si vous avez reçu un code d'erreur de 100101 à 100150, veuillez vous enregistrer de nouveau avec le même ID de client.
  • Si vous avez reçu un code d'erreur de 100151 à 100200, veuillez vous enregistrer de nouveau avec un ID de client différent.