Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne

Si la connectivité Internet n'est pas configurée dans votre NSX, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Effectuez les étapes suivantes pour télécharger les signatures en mode hors ligne et les charger sur NSX.

Étape 1 : Enregistrer NSX dans le service cloud

Utilisez l'API suivante pour enregistrer NSX dans le service cloud. Avant de démarrer toute communication avec le service cloud, vous devez utiliser cette API pour vous enregistrer dans le service cloud. Envoyez toutes les licences pour obtenir les autorisations nécessaires. Si la clé de licence est valide, l'API génère et renvoie client_id, et client_secret. Les informations sur la licence sont stockées dans le cloud. Client_secret est utilisé comme demande pour l'API d'authentification. Si le client s'est déjà enregistré, mais n'a pas accès à client_id et à client_secret, il doit s'enregistrer à nouveau à l'aide de la même API.

Chemin d'accès à l'URI :

POST https://api.prod.nsxti.vmware.com/2.0/auth/register

Corps :

{
"license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}

Réponse :

{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Étape 2 : Authentifier NSX sur le service cloud

Utilisez l'API suivante pour authentifier NSX sur le service cloud. Cet appel d'API authentifie le client à l'aide de client_id et de client_secret. L'API génère access_token à utiliser dans les en-têtes des demandes aux API de signatures IDS. Le jeton est valide pendant 60 minutes. Si le jeton expire, le client doit se réauthentifier à l'aide de client_id et de client_secret.

Chemin d'accès à l'URI :

POST https://api.prod.nsxti.vmware.com/2.0/auth/authenticate

Corps :

{"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}

Réponse :

{
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}

Étape 3 : Récupérer le lien du fichier de bundle de signatures (ZIP)

Utilisez l'API suivante pour récupérer le lien du fichier de bundle de signatures. NSX Cloud télécharge les dernières signatures toutes les 24 heures et les enregistre dans un fichier ZIP. Cette API renvoie un lien de fichier ZIP dans la réponse. Copiez et collez le lien dans votre navigateur et téléchargez le fichier ZIP.

Chemin d'accès à l'URI :

GET https://api.prod.nsxti.vmware.com/2.0/intrusion-services/signatures

Dans l'onglet En-têtes, la valeur access_token de la réponse de l'API d'authentification est attribuée à la clé d'autorisation.

Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg

Réponse :

{
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8
                       178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXd
                       lc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfG
                       lOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7K
                       T46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZw
                       YxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq
                       2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuS
                       UHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR
                       4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzP
                       MVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm
                       =AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz- 
                       Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz- 
                       Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e",
    "signature_version": "3",
    "sha256_checksum":"d0b7a20eb9b57c9abd90f95c6a29af5f2056fea4a01eb9c8a30a87e0d0fd43a5",
    "last_updated": "2020-03-01T23:59:59Z",
    "version_name": "IDS/IPSSignature.3.2020-03-01T23:59:59Z"
   }

Étape 4 : Charger le bundle de signatures dans NSX Manager

Méthode 1 : Effectuer le chargement à l'aide de l'interface utilisateur de NSX Manager
Pour charger le fichier à partir de l'interface utilisateur de NSX Manager, accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > IDS/IPS, puis cliquez sur Charger les signatures IDS/IPS. Parcourez le fichier ZIP de signature enregistré et chargez le fichier.

Méthode 2 : Effectuer le chargement à l'aide de l'API de NSX
Pour charger le fichier à l'aide de l'API NSX, utilisez l'API suivante.
```
POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures
```

Gestion du code d'erreur pour l'API d'authentification

Voici un exemple de réponse d'erreur d'API d'authentification :

{
"error_code":100101,
"error_message":"XXXXX"
}

Si vous avez reçu un code d'erreur de 100101 à 100150, veuillez vous enregistrer de nouveau avec le même ID de client.
Si vous avez reçu un code d'erreur de 100151 à 100200, veuillez vous enregistrer de nouveau avec un ID de client différent.