Si vous avez ignoré l'assistant de configuration d'IDS/IPS et de protection contre les programmes malveillants sans configurer de paramètres, ou si vous avez ignoré l'assistant à mi-parcours du processus de configuration, vous pouvez poursuivre le processus de configuration sur la page Paramètres IDS/IPS et de protection contre les programmes malveillants.

Pour ouvrir cette page dans l'interface utilisateur de NSX Manager, accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres.

Les paramètres de configuration sont regroupés en trois pages d'onglets :
  • Partagé
  • IDS/IPS
  • Protection contre les programmes malveillants

Paramètres partagés

Comme le nom le suggère, ces paramètres sont courants pour NSX IDS/IPS et Protection contre les programmes malveillants NSX.
Configurer le serveur proxy Internet

NSX IDS/IPS n'a pas nécessairement besoin d'une connexion Internet pour fonctionner. NSX IDS/IPS utilise des signatures pour détecter et empêcher les intrusions. Si votre environnement NSX-T Data Center dispose d'une connectivité Internet, NSX Manager peut télécharger automatiquement les dernières signatures de détection des intrusions directement depuis Internet ou via un serveur proxy NSX. Si la connectivité Internet n'est pas configurée dans votre environnement NSX, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Pour en savoir plus sur le téléchargement manuel des signatures, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Protection contre les programmes malveillants NSX utilise également des signatures pour détecter et empêcher les programmes malveillants. Cependant, NSX Manager peut télécharger les dernières signatures uniquement lorsque votre environnement NSX-T Data Center dispose d'une connectivité Internet. Vous ne pouvez pas charger manuellement les dernières signatures dans NSX Manager. Protection contre les programmes malveillants NSX envoie également des fichiers au service cloud NSX Advanced Threat Prevention pour une analyse détaillée des fichiers cloud. Les fichiers sont envoyés vers le cloud par le NSX Application Platform et non par NSX Manager. NSX Application Platform ne prend pas en charge la configuration du serveur proxy et nécessite un accès direct à Internet.

Si NSX Manager accède à Internet via un serveur proxy NSX, cliquez sur le lien Serveur proxy Internet et spécifiez les paramètres suivants :

  • Schéma (HTTP ou HTTPS)
  • Adresse IP de l'hôte
  • Numéro de port
  • Nom d'utilisateur et mot de passe
Définir l'étendue de la protection contre les programmes malveillants et du déploiement d'IDS/IPS

Dans la section Activer les hôtes et les clusters pour le trafic est-ouest, procédez comme suit :

  • Activez NSX IDS/IPS sur les hôtes ESXi autonomes.
  • Sélectionnez les clusters d'hôtes ESXi sur lesquels vous souhaitez activer NSX IDS/IPS sur le trafic est-ouest.
  • Si le service Protection contre les programmes malveillants distribués NSX n'est pas déjà déployé sur les clusters d'hôtes ESXi, cliquez sur le lien Défini dans le déploiement de la VM de service dans la colonne Protection contre les programmes malveillants. Pour obtenir des instructions sur le déploiement de service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service Protection contre les programmes malveillants distribués NSX.
Dans la section Activez les passerelles pour le trafic nord-sud, effectuez les configurations suivantes :
  • Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer NSX IDS/IPS sur le trafic nord-sud.
  • Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer Protection contre les programmes malveillants NSX sur le trafic nord-sud.
Important : Sur le trafic nord-sud, NSX-T Data Center 3.2 prend en charge :
  • La fonctionnalité Protection contre les programmes malveillants NSX, uniquement sur les passerelles de niveau 1.
  • La fonctionnalité NSX IDS/IPS sur le pare-feu de passerelle uniquement sur les passerelles de niveau 1. Dans NSX-T Data Center 3.2.0, NSX IDS/IPS sur le pare-feu de passerelle est disponible en mode tech preview uniquement. À partir de NSX-T Data Center 3.2.1, NSX IDS/IPS sur le pare-feu de passerelle est disponible pour les environnements de production et dispose d'une prise en charge complète. Pour plus d'informations, reportez-vous à Notes de mise à jour de NSX-T Data Center.

Paramètres IDS/IPS

Lorsque la connectivité Internet est configurée dans votre centre de données, NSX Manager vérifie la disponibilité de nouvelles signatures de détection des intrusions sur le cloud toutes les 20 minutes, par défaut. Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si le centre de données ne dispose pas d'une connectivité Internet, vous pouvez télécharger manuellement le fichier de bundle de signatures IDS (.zip), puis charger le fichier dans NSX Manager. Pour des instructions détaillées, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Vous pouvez effectuer les tâches de gestion de signature suivantes sur cette page :

  • Activez l'option Mise à jour automatique des nouvelles versions pour appliquer automatiquement les signatures de détection des intrusions aux hôtes et aux dispositifs Edge du centre de données après leur téléchargement depuis le cloud.

    Lorsque cette option est désactivée, les signatures sont arrêtées à la version répertoriée.

  • Cliquez sur Afficher et modifier les versions pour ajouter une autre version des signatures, en plus de la version par défaut.

    Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.

  • Cliquez sur Afficher et gérer l'ensemble de signatures global pour modifier globalement l'action de signatures spécifiques en alerte, abandon ou rejet.

    Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer. Les modifications apportées aux paramètres globaux de gestion des signatures s'appliquent à tous les profils IDS/IPS. Cependant, si vous mettez à jour les paramètres de signature dans un profil IDS/IPS, les paramètres du profil sont prioritaires.

    Le tableau suivant décrit la signification de chaque action de signature.

    Action Description

    Alerte

    Une alerte est générée et aucune action préventive automatique n'est effectuée.

    Annuler

    Une alerte est générée et les paquets incriminés sont abandonnés.

    Rejeter

    Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

Paramètres de protection contre les programmes malveillants

Protection contre les programmes malveillants NSX nécessite le déploiement de certains microservices dans NSX Application Platform.

Si NSX Application Platform n'est pas déployé dans votre centre de données, cette page affiche le titre suivant :

La protection contre les programmes malveillants n'est pas encore déployée.
Procédez comme suit :
  1. Lisez le texte à l'écran et cliquez sur Aller à NSX Application Platform.
  2. Avant de procéder au déploiement de la plate-forme, lisez la liste de contrôle de déploiement de NSX Application Platform dans la publication Déploiement et gestion de VMware NSX Application Platform à l'adresse https://docs.vmware.com/fr/VMware-NSX-T-Data-Center/index.html. Dans le volet de navigation de gauche de ce lien, développez 3.2 ou version ultérieure, puis cliquez sur le nom de la publication.
  3. Déployez NSX Application Platform. Pour plus d'informations, consultez la publication Déploiement et gestion de VMware NSX Application Platform.
  4. Fonctionnalité Activer Protection contre les programmes malveillants NSX sur la plate-forme.

Une fois la fonctionnalité Protection contre les programmes malveillants NSX activée sur NSX Application Platform, la page des paramètres Protection contre les programmes malveillants affiche la section Liste autorisée. Vous devrez peut-être actualiser la page plusieurs fois pour afficher cette section.

Liste autorisée
À l'aide de l'interface utilisateur ou de l'API NSX Manager, vous pouvez remplacer ou supprimer le verdict du fichier que NSX-T a calculé. Ce verdict de fichier remplacé est prioritaire sur le verdict calculé par NSX-T. Le tableau Liste autorisée affiche tous les fichiers avec le verdict supprimé. Ce tableau est initialement vide. Lorsque vous commencez à surveiller les événements de fichiers dans votre centre de données à l'aide du tableau de bord Protection contre les programmes malveillants et supprimez les verdicts de fichiers en fonction de vos exigences de sécurité spécifiques, les fichiers supprimés sont ajoutés au tableau Liste autorisée.

Pour en savoir plus sur les verdicts de fichiers de remplacement, reportez-vous à la section Ajouter un fichier à la liste autorisée.