Vous pouvez créer un profil NSX IDS/IPS pour regrouper des signatures, qui peuvent ensuite être appliquées à une sélection d'applications.

Le profil IDS par défaut comporte des gravités critiques et ne peut pas être modifié.

À partir de NSX 4.1.2, vous pouvez également capturer des fichiers PCAP (capture de paquets) pour les événements déclenchés pour IDS/IPS distribué. Vous pouvez activer cette fonctionnalité pour n'importe quel profil que vous créez. Lorsque la fonctionnalité de capture de paquets est activée, un hôte capture les fichiers PCAP qui peuvent être exportés ultérieurement vers le NSX Manager et également téléchargés à partir de là.

La taille maximale d'un fichier PCAP est de 64 Ko. Un total de 500 000 fichiers PCAP peuvent être enregistrés pendant 14 jours sur un grand NSX Manager.

Procédure

  1. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Profils.
  2. Cliquez sur Ajouter un profil.
  3. Entrez un nom pour ce profil.
  4. (Facultatif) Entrez une description pour le profil et ajoutez des balises.
  5. Sélectionnez les Gravités des intrusions requises que vous souhaitez inclure dans le profil.
  6. (Facultatif) Filtrez les signatures à inclure dans le profil par Types d'attaques, CVSS, Cibles de l'attaque et Produits concernés.
  7. Pour activer la capture de paquets pour le profil, activez la capture de paquets et définissez la taille maximale du fichier PCAP et le nombre maximal de paquets pouvant être capturés.
  8. Pour modifier l'action sur une signature spécifique, cliquez sur Gérer les signatures pour ce profil et, dans la colonne Action, sélectionnez l'action appropriée.
  9. (Facultatif) Pour afficher uniquement les signatures modifiées par l'utilisateur, cliquez sur le bouton bascule Afficher uniquement les signatures modifiées par l'utilisateur.
  10. Cliquez sur Enregistrer pour créer le profil.

Que faire ensuite

Créez des règles d'IDS.