L'objectif de Service de détection et de prévention des intrusions de NSX (IDS/IPS) est de surveiller le trafic réseau sur les hôtes et les dispositifs Edge à la recherche d'une éventuelle activité malveillante en comparant le trafic avec un ensemble connu de signatures. L'objectif de Protection contre les programmes malveillants NSX est d'extraire des fichiers du trafic réseau sur les hôtes et les dispositifs Edge, et d'analyser le comportement malveillant éventuel de ces fichiers.
Présentation du service de détection et de prévention des intrusions de NSX
NSX IDS/IPS surveille l'éventuelle activité suspecte du trafic réseau sur un hôte en comparant le trafic avec les signatures. Une signature spécifie un modèle pour un type d'intrusion réseau qui doit être détecté et signalé. Chaque fois qu'un modèle de trafic correspondant à une signature est trouvé, une action prédéfinie est effectuée, telle que générer une alerte ou empêcher le trafic d'atteindre sa destination.
- Signatures basées sur les connaissances : ces signatures intègrent des connaissances ou des modèles spécifiques qui correspondent à un type d'attaque connu. Dans cette approche, IDS tente de détecter les intrusions en fonction de séquences d'instructions malveillantes déjà connues spécifiées dans les signatures. Par conséquent, les signatures basées sur les connaissances sont limitées aux attaques déjà connues et qui ne peuvent pas couvrir les menaces ciblées ou de type zero-day.
- Détection basée sur le comportement : ce type de détection tente d'identifier un comportement anormal en mettant en évidence des événements intéressants différents ou inhabituels par rapport à une ligne de base ou un trafic normal.
Ces événements sont appelés informatifs ou info et se composent d'événements qui mettent en évidence des activités inhabituelles dans un réseau qui ne sont pas nécessairement malveillantes, mais qui peuvent fournir des informations précieuses lors de l'examen d'une violation. Les signatures sont regroupées avec une logique de détection personnalisée qui peut être mise à jour sans devoir recompiler ou modifier le moteur IDS. La détection basée sur le comportement ajoute un nouveau niveau « suspect » de gravité des intrusions IDS.
NSX prend en charge la capacité IDS/IPS sur le pare-feu distribué et le pare-feu de passerelle. La fonctionnalité NSX IDS/IPS sur le pare-feu de passerelle uniquement sur les passerelles de niveau 1.
Présentation de Protection contre les programmes malveillants NSX
- Détection basée sur le hachage des fichiers malveillants connus
- Analyse locale de fichiers inconnus
- Analyse cloud de fichiers inconnus
Dans toutes les versions de NSX 4.x, la limite maximale de taille de fichier prise en charge pour l'analyse des programmes malveillants est de 64 Mo.
- Protection contre les programmes malveillants distribués NSX
-
- Dans NSX 4.0, la détection et la prévention des programmes malveillants sur le pare-feu distribué sont prises en charge uniquement pour les points de terminaison invités (VM) Windows, qui s'exécutent sur des clusters d'hôtes vSphere préparés pour NSX.
Seuls les fichiers exécutables portables Windows (PE) sont pris en charge pour l'analyse locale et l'analyse cloud. Les autres catégories de fichiers ne sont pas prises en charge par Protection contre les programmes malveillants distribués NSX
- À partir de NSX 4.0.1.1, la détection et la prévention des programmes malveillants sur le pare-feu distribué sont prises en charge pour les points de terminaison invités (VM) Windows et Linux, qui s'exécutent sur des clusters d'hôtes vSphere préparés pour NSX.
L'analyse locale et l'analyse cloud de toutes les catégories de fichiers de programmes malveillants sont prises en charge. Pour afficher la liste des catégories de fichiers prises en charge, reportez-vous à la section Catégories de fichiers prises en charge pour Protection contre les programmes malveillants NSX.
- Dans NSX 4.0, la détection et la prévention des programmes malveillants sur le pare-feu distribué sont prises en charge uniquement pour les points de terminaison invités (VM) Windows, qui s'exécutent sur des clusters d'hôtes vSphere préparés pour NSX.
- Protection contre les programmes malveillants NSX sur le pare-feu de passerelle
-
Dans NSX 4.0 ou version ultérieure, seule la détection des programmes malveillants est prise en charge sur le pare-feu de passerelle. L'analyse locale et l'analyse cloud de toutes les catégories de fichiers de programmes malveillants sont prises en charge. Pour afficher la liste des catégories de fichiers prises en charge, reportez-vous à la rubrique en lien hypertexte mentionnée dans la section Protection contre les programmes malveillants distribués NSX.
Sur le trafic nord-sud, la fonctionnalité Protection contre les programmes malveillants NSX utilise le moteur IDS/IPS sur les dispositifs NSX Edge pour extraire ou intercepter les fichiers entrant dans le centre de données. Sur le trafic est-ouest, cette fonctionnalité utilise les capacités de la plate-forme NSX Guest Introspection (GI). Si le fichier contourne la surveillance sur le dispositif NSX Edge et atteint l'hôte, il est extrait par l'agent léger GI sur les VM invitées.
Pour détecter et empêcher les programmes malveillants sur des VM invitées, vous devez installer l'agent léger NSX Guest Introspection sur des VM invitées et déployer le service Protection contre les programmes malveillants distribués NSX sur des clusters d'hôtes vSphere préparés pour NSX. Lorsque ce service est déployé, une machine virtuelle de service (SVM) est installée sur chaque hôte du cluster vSphere tandis que Protection contre les programmes malveillants NSX est activé sur le cluster d'hôtes.
Les pilotes d'agent léger NSX Guest Introspection pour Windows sont inclus avec VMware Tools. Pour afficher les versions de VMware Tools prises en charge pour votre version de NSX, consultez la Matrice d'interopérabilité des produits VMware. Pour afficher la liste des systèmes d'exploitation invités Windows pris en charge pour une version spécifique de VMware Tools, consultez les notes de mise à jour de cette version dans la documentation de VMware Tools.
L'agent léger Guest Introspection pour Linux est disponible dans le cadre des modules OSP (propres au système d'exploitation). Les modules sont hébergés sur le portail des modules VMware. L'installation d'open-vm-tools ou de VM Tools n'est pas requise pour Linux. Pour afficher la liste des versions du système d'exploitation invité Linux prises en charge, reportez-vous à la section Conditions préalables dans Installer l'agent léger Guest Introspection pour l'antivirus sur les machines virtuelles Linux.
- Événements de fichier Protection contre les programmes malveillants NSX
-
Les événements de fichiers sont générés lorsque des fichiers sont extraits par le moteur IDS sur les dispositifs NSX Edge dans le trafic nord-sud et par l'agent NSX Guest Introspection sur les points de terminaison de machine virtuelle dans le trafic est-ouest distribué.
La fonctionnalité Protection contre les programmes malveillants NSX inspecte les fichiers extraits pour déterminer s'ils sont inoffensifs, malveillants ou suspects. Chaque inspection unique d'un fichier est comptée comme un événement de fichier unique dans NSX. En d'autres termes, un événement de fichier fait référence à une inspection de fichier unique.
Pour plus d'informations sur la surveillance des événements de fichiers Protection contre les programmes malveillants NSX à l'aide de l'interface utilisateur, reportez-vous à la section Surveillance des événements de fichiers.
Pour plus d'informations sur la surveillance des événements de fichiers à l'aide des API d'événements de fichier Protection contre les programmes malveillants NSX, reportez-vous à la documentation sur le portail VMware Developer Documentation.
