L'interface utilisateur NSX Manager fournit un tableau de règles commun pour ajouter des règles pour la détection/prévention des intrusions NSX et pour Prévention des logiciels malveillants de NSX sur un pare-feu distribué.

Conditions préalables

Pour Prévention des logiciels malveillants de NSX :
Pour NSX IDS/IPS :
  • Ajouter un profil NSX IDS/IPS.
  • Activez NSX IDS/IPS sur les clusters d'hôtes vSphere. (Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres > Partagé).

Procédure

  1. À partir de votre navigateur, connectez-vous à une instance de NSX Manager sur https://nsx-manager-ip-address.
  2. Accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Règles distribuées.
  3. Cliquez sur Ajouter une stratégie pour créer une section pour organiser les règles.
    1. Entrez le nom de la stratégie.
    2. (Facultatif) Dans la ligne stratégie, cliquez sur l'icône d'engrenage pour configurer les options de stratégie avancées. Ces options s'appliquent uniquement à NSX Distributed IDS/IPS et non à Protection contre les programmes malveillants distribués NSX.
      Option Description

      Avec état

      Un pare-feu avec état surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets à autoriser via le pare-feu.

      Verrouillé

      La stratégie peut être verrouillée pour empêcher plusieurs utilisateurs de modifier les mêmes sections. Vous devez inclure un commentaire lors du verrouillage d'une section.

      Certains rôles, tels Administrateur d'entreprise, disposent d'informations d'identification d'accès complet et ne peuvent pas être verrouillés. Reportez-vous à la section Contrôle d'accès basé sur les rôles.

  4. Cliquez sur Ajouter une règle et configurez les paramètres de la règle.
    1. Entrez un nom pour la règle.
    2. Configurez les colonnes Sources, Destinations et Services en fonction du trafic nécessitant une inspection IDS. IDS prend en charge les types de groupe Générique et Adresses IP uniquement pour la source et la destination.
      Ces trois colonnes ne sont pas prises en charge pour les règles de pare-feu de protection contre les programmes malveillants distribués. Conservez-les comme Quelconque. Cependant, vous devez limiter l'étendue des règles de protection contre les programmes malveillants distribués en sélectionnant les groupes dans la colonne Appliqué à.
    3. Dans la colonne Profils de sécurité, sélectionnez le profil à utiliser pour cette règle.
      Vous pouvez sélectionner un profil NSX IDS/IPS ou un profil Prévention des logiciels malveillants de NSX, mais pas les deux. En d'autres termes, un seul profil de sécurité est pris en charge dans une règle.
    4. Dans la colonne Appliqué à, sélectionnez l'une des options.
      Option Description
      DFW Actuellement, les règles de protection contre les programmes malveillants distribués ne prennent pas en charge DFW dans Appliqué à. Les règles IDS/IPS distribuées peuvent être appliquées à DFW. Les règles IDS/IPS sont appliquées aux machines virtuelles de charge de travail sur tous les clusters d'hôtes activés avec NSX IDS/IPS.
      Groupes La règle est appliquée uniquement aux machines virtuelles qui sont membres des groupes sélectionnés.
    5. Dans la colonne Mode, sélectionnez l'une des options.
      Option Description
      Détecter uniquement

      Pour le service Prévention des logiciels malveillants de NSX : la règle détecte les fichiers malveillants sur les machines virtuelles, mais aucune action préventive n'est effectuée. En d'autres termes, des fichiers malveillants sont téléchargés sur les machines virtuelles.

      Pour le service NSX IDS/IPS : la règle détecte les intrusions par rapport aux signatures et n'effectue aucune action.

      Détecter et empêcher

      Pour le service Prévention des logiciels malveillants de NSX : la règle détecte les fichiers malveillants connus sur les machines virtuelles et les empêche d'être téléchargées sur les machines virtuelles.

      Pour le service NSX IDS/IPS : la règle détecte les intrusions contre les signatures et abandonne ou rejette le trafic en fonction de la configuration de la signature dans le profil IDS/IPS ou dans la configuration de signature globale.

    6. (Facultatif) Cliquez sur l'icône d'engrenage pour configurer d'autres paramètres de règle. Ces paramètres s'appliquent uniquement à NSX Distributed IDS/IPS et non à Protection contre les programmes malveillants distribués NSX.
      Option Description
      Journalisation La journalisation est désactivée par défaut. Les journaux sont stockés dans le fichier /var/log/dfwpktlogs.log sur des hôtes ESXi.
      Direction Fait référence à la direction du trafic selon le point de vue de l'objet de destination. IN signifie que seul le trafic vers l'objet est vérifié. OUT signifie que seul le trafic provenant de l'objet est vérifié. In-Out signifie que le trafic dans les deux sens est vérifié.
      Protocole IP Appliquez la règle sur le protocole IPv4, IPv6 ou IPv4-IPv6 à la fois.
      Surabonnement Vous pouvez configurer si le trafic en excès doit être abandonné ou contourné par le moteur IDS/IPS en cas de surabonnement. La valeur entrée ici remplacera la valeur définie pour le surabonnement dans le paramètre global.
      Étiquette de journal L'étiquette de journal est stockée dans le journal du pare-feu lorsque la journalisation est activée.
  5. (Facultatif) Répétez l'étape 4 pour ajouter d'autres règles dans la même stratégie.
  6. Cliquez sur Publier.
    Les règles sont enregistrées et transférées aux hôtes. Vous pouvez cliquer sur l'icône de graphique pour afficher les statistiques de règle pour NSX Distributed IDS/IPS.
    Note : Les statistiques de règle pour les règles de pare-feu Protection contre les programmes malveillants distribués NSX ne sont pas prises en charge.

Résultats

Lorsque des fichiers sont extraits sur les machines virtuelles de point de terminaison, des événements de fichiers sont générés et affichés dans le tableau de bord Protection contre les programmes malveillants et Présentation de la sécurité. Si les fichiers sont malveillants, la stratégie de sécurité est appliquée. Si les fichiers sont inoffensifs, ils sont téléchargés sur les machines virtuelles.

Pour les règles configurées avec le profil IDS/IPS, si le système détecte un trafic malveillant, il génère un événement d'intrusion et l'affiche sur le tableau de bord IDS/IPS. Le système abandonne, rejette ou génère une alarme pour le trafic en fonction de l'action que vous avez configurée dans la règle.

Exemple

Pour obtenir un exemple de bout en bout de la configuration d'une règle de pare-feu distribué pour la détection des programmes malveillants et la protection contre ces programmes sur les points de terminaison de machine virtuelle, reportez-vous à la section Exemple : ajouter des règles pour Protection contre les programmes malveillants distribués NSX.

Que faire ensuite

Surveillez et analysez les événements de fichiers sur le tableau de bord Protection contre les programmes malveillants. Pour plus d'informations, reportez-vous à la section Surveillance des événements de fichiers.

Surveillez et analysez les événements d'intrusion sur le tableau de bord IDS/IPS. Pour plus d'informations, reportez-vous à la section Surveillance des événements IDS/IPS.