Pour appliquer des signatures personnalisées à des règles, ajoutez-les aux profils IDS.

Procédure

  1. Dans NSX Manager, accédez à Sécurité > IDS/IPS et Malware Prevention (sous la section Gestion des règles).
  2. Sur la page IDS/IPS et Malware Prevention, accédez à l'onglet Profils.
  3. Dans l'onglet IDS/IPS, vous pouvez choisir d'ajouter un nouveau profil ou de modifier un profil existant. Reportez-vous à la section Ajouter un profil NSX IDS/IPS.
  4. Pour ajouter des signatures personnalisées à un profil existant, cliquez sur les trois points, puis sur Modifier.
  5. Dans la section Signatures IDS, sélectionnez Personnalisé. Vous pouvez voir le nombre de signatures qui seront incluses dans ce profil.
  6. Pour définir une signature personnalisée, il est essentiel d'inclure le champ de métadonnées requis signature_severity dans la section Gravités des intrusions. Ce champ doit faire partie de toutes les signatures personnalisées. Les valeurs de mots clés possibles pour ce champ sont les suivantes :
    • Critique

    • Élevé

    • Moyen

    • Faible

    • Suspect

    Ces gravités de signature seront affichées dans l'interface utilisateur et figureront dans la sortie SYSLOG du moteur IDS.

    Lors de l'importation d'ensembles de signatures à partir de sources tierces, différents mots clés peuvent représenter la gravité de la menace en cours de traitement. Par exemple, les menaces émergentes utilisent le mot clé « Majeur ». Lors de la validation, ce mot clé sera remappé sur « Élevé ».

  7. Cliquez sur Enregistrer.

Résultats

Lorsqu'une règle est atteinte, vous pouvez afficher les détails de l'action effectuée sur la page Surveillance.

  1. Dans la section Surveillance des événements de menaces, sélectionnez IDS/IPS.

  2. Examinez l'onglet Surveillance pour savoir si des intrusions sont détectées en fonction des signatures personnalisées appliquées aux règles sur GFW et DFW.