Un profil de protection contre les programmes malveillants détermine les catégories de fichiers que vous souhaitez analyser pour les programmes malveillants et si vous souhaitez NSX envoyer les fichiers vers le cloud pour une analyse détaillée.

Vous pouvez utiliser le profil de protection contre les programmes malveillants par défaut dans vos règles de pare-feu ou ajouter de nouveaux profils en fonction des exigences de vos stratégies de sécurité. Dans le profil, vous pouvez sélectionner les catégories de fichiers que la fonctionnalité de Protection contre les programmes malveillants NSX doit capturer et analyser pour comportement malveillant. L'analyse des fichiers est effectuée localement sur les nœuds de transport hôtes NSX et les nœuds de transport Edge NSX activés pour Protection contre les programmes malveillants NSX. Si vous choisissez d'envoyer les fichiers vers le cloud, une analyse détaillée des fichiers est également effectuée dans le cloud.

Lorsque vous appliquez le profil à des règles de protection contre les programmes malveillants distribués, Protection contre les programmes malveillants NSX analyse les fichiers qui sont interceptés ou capturés sur les nœuds de transport hôtes. Lorsque vous appliquez le profil à des règles de protection contre les programmes malveillants de passerelle, Protection contre les programmes malveillants NSX analyse les fichiers qui sont interceptés ou capturés sur les nœuds de transport Edge.

Vous pouvez ajouter plusieurs profils de protection contre les programmes malveillants avec différentes configurations et utiliser des profils distincts dans les règles de pare-feu de protection contre les programmes malveillants distribués et les règles de pare-feu de protection contre les programmes malveillants de passerelle. Vous pouvez utiliser un profil différent dans les règles de pare-feu de chaque passerelle de niveau 1 que vous avez activée pour Protection contre les programmes malveillants NSX. Par exemple, supposons que vous disposiez de deux profils : A et B. Dans la configuration du profil A, vous choisissez de ne pas envoyer les fichiers vers le cloud pour analyse, tandis que dans le profil B, vous choisissez d'envoyer les fichiers vers le cloud pour analyse. Vous utilisez le profil A pour les règles de protection contre les programmes malveillants distribués et le profil B pour les règles de protection contre les programmes malveillants de passerelle.

Attention : Vous devez être prudent lorsque vous utilisez des configurations de profil de protection contre les programmes malveillants différentes ou incohérentes pour les règles de protection contre les programmes malveillants distribués et les règles de protection contre les programmes malveillants de passerelle, ou lors de l'utilisation de différentes configurations de profil sur chaque passerelle de niveau 1 activée pour Protection contre les programmes malveillants NSX. L'utilisation de configurations de profil différentes peut pousser NSX à renvoyer un verdict différent pour un fichier en fonction de l'emplacement dans lequel le fichier est intercepté (nœud de transport hôte ou nœud de transport Edge). L'analyse des fichiers cloud effectue une inspection approfondie du contenu, notamment des techniques de sandboxing et d'apprentissage automatique. Cette inspection approfondie du contenu peut détecter les comportements des programmes malveillants avec une plus grande précision. L'analyse de fichiers locaux ne dispose pas de ressources suffisantes pour effectuer une analyse aussi approfondie et peut donc produire des résultats moins précis.

Vous ne pouvez joindre qu'un seul profil de protection contre les programmes malveillants à une règle de pare-feu à la fois. Cependant, un seul profil de protection contre les programmes malveillants peut être associé à plusieurs règles de protection contre les programmes malveillants distribués et à plusieurs règles de protection contre les programmes malveillants de passerelle simultanément, si nécessaire.

Conditions préalables

Configurez votre NSX pour la Protection contre les programmes malveillants NSX.

Pour des instructions détaillées, reportez-vous à la section Préparation du centre de données pour NSX IDS/IPS et pour Protection contre les programmes malveillants NSX.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Profils > Protection contre les programmes malveillants.
  3. Cliquez sur Ajouter un profil.
  4. Entrez le nom du profil.
  5. (Facultatif) Entrez une description pour le profil et ajoutez des balises.
  6. Sélectionnez les catégories de fichiers à inclure pour l'analyse locale des fichiers et l'analyse de fichier cloud. Par défaut, toutes les catégories sont sélectionnées.
  7. (Facultatif) Décochez la case Envoyer des fichiers au service cloud NSX Advanced Threat Prevention.
    Par défaut, l'analyse des fichiers cloud est sélectionnée.
  8. Cliquez sur Enregistrer.

Résultats

Le profil de protection contre les programmes malveillants est enregistré et la colonne État affiche Réussi.

Que faire ensuite

Attachez ce profil à des règles de protection contre les programmes malveillants de passerelle ou à des règles de protection contre les programmes malveillants distribués, ou aux deux, en fonction des exigences de vos stratégies de sécurité.