Suivez ces étapes pour charger et appliquer des signatures personnalisées à des règles et protéger le trafic contre des attaques malveillantes.

  1. Dans l'interface utilisateur de NSX Manager, vous pouvez ajouter un bundle de signatures personnalisées ou inclure manuellement des signatures personnalisées dans une liste existante de signatures.

  2. Une fois le chargement terminé, validez les signatures personnalisées. Les résultats de la validation sont les suivants : Valide, Non valide ou Avertissement.

    Note :

    Si des signatures sont marquées comme non valides, recherchez les erreurs dans les métadonnées. Par exemple, si la direction du trafic spécifiée dans la signature est incorrecte, NSX IDS/IPS classera la signature comme non valide. Corrigez les métadonnées et validez à nouveau la signature.

    Par défaut, les signatures Avertissement sont exclues et ne seront pas publiées, sauf si vous sélectionnez spécifiquement les signatures Avertissement qui doivent être publiées sur les nœuds de transport et les dispositifs NSX Edge.

  3. Publiez les signatures.

  4. Une fois la publication terminée, pour appliquer les signatures personnalisées aux règles du pare-feu distribué (DFW) ou du pare-feu de passerelle (GFW), ajoutez-les à un profil NSX IDS/IPS. Modifiez le profil pour incorporer les signatures personnalisées et les signatures système. Après la publication des règles, le profil et les règles sont transférés en fonction de l'étendue de la règle. Lorsqu'une correspondance de signature se produit, un événement est déclenché.

    Note :

    Étant donné que seules les signatures uniques sont acceptées, NSX modifie les ID des signatures personnalisées d'origine en les ajoutant à une plage de 1 à 2 milliards. Les ID de signature d'origine restent accessibles dans l'API ou l'interface utilisateur de NSX Manager.

  5. Les règles sur DFW ou GFW qui utilisent le profil IDS contenant des signatures personnalisées seront actives et prêtes à répondre à des menaces. Lorsque le trafic correspond à une signature personnalisée, IDS/IPS génère une alerte qui est visible sur la page d'interface utilisateur IDS/IPS > Surveillance.

  6. En fonction des détails de l'intrusion, tels que gravité, CVE, CVSS et les machines virtuelles affectées par la menace, les administrateurs de sécurité peuvent prendre les mesures appropriées pour atténuer le risque.