Pour appliquer des signatures personnalisées à des règles, ajoutez-les aux profils IDS.
Procédure
- Dans NSX Manager, accédez à (sous la section Gestion des règles).
- Sur la page IDS/IPS et Malware Prevention, accédez à l'onglet Profils.
- Dans l'onglet IDS/IPS, vous pouvez choisir d'ajouter un nouveau profil ou de modifier un profil existant. Reportez-vous à la section Ajouter un profil NSX IDS/IPS.
- Pour ajouter des signatures personnalisées à un profil existant, cliquez sur les trois points, puis sur Modifier.
- Dans la section Signatures IDS, sélectionnez Personnalisé. Vous pouvez voir le nombre de signatures qui seront incluses dans ce profil.
- Pour définir une signature personnalisée, il est essentiel d'inclure le champ de métadonnées requis signature_severity dans la section Gravités des intrusions. Ce champ doit faire partie de toutes les signatures personnalisées. Les valeurs de mots clés possibles pour ce champ sont les suivantes :
Critique
Élevé
Moyen
Faible
Suspect
Ces gravités de signature seront affichées dans l'interface utilisateur et figureront dans la sortie SYSLOG du moteur IDS.
Lors de l'importation d'ensembles de signatures à partir de sources tierces, différents mots clés peuvent représenter la gravité de la menace en cours de traitement. Par exemple, les menaces émergentes utilisent le mot clé « Majeur ». Lors de la validation, ce mot clé sera remappé sur « Élevé ».
- Cliquez sur Enregistrer.
Résultats
Lorsqu'une règle est atteinte, vous pouvez afficher les détails de l'action effectuée sur la page Surveillance.
Dans la section Surveillance des événements de menaces, sélectionnez IDS/IPS.
Examinez l'onglet Surveillance pour savoir si des intrusions sont détectées en fonction des signatures personnalisées appliquées aux règles sur GFW et DFW.