Si vous avez ignoré l'assistant de configuration d'IDS/IPS et de protection contre les programmes malveillants sans configurer de paramètres, ou si vous avez ignoré l'assistant à mi-parcours du processus de configuration, vous pouvez poursuivre le processus de configuration sur la page Paramètres IDS/IPS et de protection contre les programmes malveillants.

Pour ouvrir cette page dans l'interface utilisateur de NSX Manager, accédez à Sécurité > IDS/IPS et protection contre les programmes malveillants > Paramètres.

Les paramètres de configuration sont regroupés en trois pages d'onglets :
  • Partagé
  • IDS/IPS
  • Protection contre les programmes malveillants

Paramètres partagés

Comme le nom le suggère, ces paramètres sont courants pour NSX IDS/IPS et Prévention des logiciels malveillants de NSX.
Configurer le serveur proxy Internet

NSX IDS/IPS n'a pas nécessairement besoin d'une connexion Internet pour fonctionner. NSX IDS/IPS utilise des signatures pour détecter et empêcher les intrusions. Si votre environnement NSX dispose d'une connectivité Internet, NSX Manager peut télécharger automatiquement les dernières signatures de détection des intrusions directement depuis Internet ou via un serveur proxy NSX. Si la connectivité Internet n'est pas configurée dans votre environnement NSX, vous pouvez utiliser des API pour télécharger manuellement le fichier (.zip) du bundle de signatures de détection des intrusions NSX, puis charger le bundle de signatures vers NSX Manager. Pour en savoir plus sur le téléchargement manuel des signatures, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Prévention des logiciels malveillants de NSX utilise également des signatures pour détecter et empêcher les programmes malveillants. Cependant, NSX Manager peut télécharger les dernières signatures uniquement lorsque votre environnement NSX dispose d'une connectivité Internet. Vous ne pouvez pas charger manuellement les dernières signatures dans NSX Manager. Prévention des logiciels malveillants de NSX envoie également des fichiers au service cloud NSX Advanced Threat Prevention pour une analyse détaillée des fichiers cloud. Les fichiers sont envoyés vers le cloud par le Plate-forme d'application NSX et non par NSX Manager. Plate-forme d'application NSX ne prend pas en charge la configuration du serveur proxy et nécessite un accès direct à Internet.

Si NSX Manager accède à Internet via un serveur proxy NSX, cliquez sur le lien Serveur proxy Internet et spécifiez les paramètres suivants :

  • Schéma (HTTP ou HTTPS)
  • Adresse IP de l'hôte
  • Numéro de port
  • Nom d'utilisateur et mot de passe
Définir l'étendue de la protection contre les programmes malveillants et du déploiement d'IDS/IPS

Dans la section Activer les hôtes et les clusters pour le trafic est-ouest, procédez comme suit :

  • Activez NSX IDS/IPS sur les hôtes ESXi autonomes.
  • Sélectionnez les clusters d'hôtes ESXi sur lesquels vous souhaitez activer NSX IDS/IPS sur le trafic est-ouest.
  • Si le service Protection contre les programmes malveillants distribués NSX n'est pas déjà déployé sur les clusters d'hôtes ESXi, cliquez sur le lien Défini dans le déploiement de la VM de service dans la colonne Protection contre les programmes malveillants. Pour obtenir des instructions sur le déploiement de service Protection contre les programmes malveillants distribués NSX sur un cluster d'hôtes, reportez-vous à la section Déployer le service de protection contre les programmes malveillants distribués NSX.
Dans la section Activez les passerelles pour le trafic nord-sud, effectuez les configurations suivantes :
  • Sélectionnez les passerelles sur lesquelles vous souhaitez activer NSX IDS/IPS sur le trafic nord-sud.
  • Sélectionnez les passerelles de niveau 1 sur lesquelles vous souhaitez activer Prévention des logiciels malveillants de NSX sur le trafic nord-sud.
Important : Sur le trafic nord-sud, NSX prend en charge les éléments suivants :
  • Prévention des logiciels malveillants de NSX uniquement sur les passerelles de niveau 1.
  • NSX IDS/IPS sur le pare-feu de passerelle sur les passerelles de niveau 0 et de niveau 1.

Paramètres IDS/IPS

Lorsque la connectivité Internet est configurée dans votre centre de données, NSX Manager vérifie la disponibilité de nouvelles signatures de détection des intrusions sur le cloud toutes les 20 minutes, par défaut. Lorsqu'une nouvelle mise à jour est disponible, une bannière s'affiche sur la page avec un lien Mettre à jour maintenant.

Si le centre de données ne dispose pas d'une connectivité Internet, vous pouvez télécharger manuellement le fichier de bundle de signatures IDS (.zip), puis charger le fichier dans NSX Manager. Pour des instructions détaillées, reportez-vous à la section Téléchargement et chargement des signatures de détection des intrusions NSX hors ligne.

Vous pouvez effectuer les tâches de gestion de signatures suivantes sur cette page :

  • Pour afficher la version des signatures ou pour ajouter une autre version des signatures en plus de la version par défaut, cliquez sur Afficher et modifier.

    Actuellement, deux versions de signatures sont conservées. Chaque fois qu'une modification est apportée au numéro d'identification de validation de la version, une nouvelle version est téléchargée.

  • Pour télécharger automatiquement les signatures de détection des intrusions depuis le cloud et les appliquer aux hôtes et aux dispositifs Edge du centre de données, activez l'option Mise à jour automatique.

    Lorsque cette option est désactivée, le téléchargement automatique des signatures s'arrête. Vous pouvez télécharger manuellement le fichier de bundle des signatures IDS (.zip), puis charger le fichier vers NSX Manager.

  • Pour afficher l'état du téléchargement des signatures sur les nœuds de transport, cliquez sur le lien dans le champ État.
  • Pour exclure globalement des signatures spécifiques ou pour modifier leur action en alerte, abandon ou refus, cliquez sur Afficher et gérer l'ensemble de signatures.

    Sélectionnez une Action pour la signature, puis cliquez sur Enregistrer. Les modifications apportées aux paramètres globaux de gestion des signatures s'appliquent à tous les profils IDS/IPS. Cependant, si vous mettez à jour les paramètres de signature dans un profil IDS/IPS, les paramètres du profil sont prioritaires.

    Le tableau suivant décrit la signification de chaque action de signature.

    Action Description

    Alerte

    Une alerte est générée et aucune action préventive automatique n'est effectuée.

    Annuler

    Une alerte est générée et les paquets incriminés sont abandonnés.

    Rejeter

    Une alerte est générée et les paquets incriminés sont abandonnés. Pour les flux TCP, un paquet de réinitialisation TCP est généré par IDS et envoyé à la source et à la destination de la connexion. Pour les autres protocoles, un paquet d'erreur ICMP est envoyé à la source et à la destination de la connexion.

Vous pouvez également gérer les paramètres avancés suivants :

  • Pour envoyer des événements IDS/IPS à des consommateurs Syslog externes, activez l'option Syslog.
  • Pour indiquer si le trafic excessif doit être abandonné ou contourné par le moteur IDS/IPS en cas de surabonnement, cliquez sur l'option appropriée du champ Surabonnement.

Paramètres de protection contre les programmes malveillants

Prévention des logiciels malveillants de NSX nécessite le déploiement de certains microservices dans Plate-forme d'application NSX.

Si Plate-forme d'application NSX n'est pas déployé dans votre centre de données, cette page affiche le titre suivant :

La protection contre les programmes malveillants n'est pas encore déployée.
Procédez comme suit :
  1. Lisez le texte à l'écran et cliquez sur Aller à NSX Application Platform.
  2. Avant de procéder au déploiement de la plate-forme, lisez la liste de contrôle de déploiement de Plate-forme d'application NSX dans la publication Déploiement et gestion de VMware NSX Application Platform à l'adresse https://docs.vmware.com/fr/VMware-NSX-T-Data-Center/index.html. Dans le volet de navigation de gauche de ce lien, développez la version du produit, puis cliquez sur le nom de la publication.
  3. Déployez Plate-forme d'application NSX. Pour plus d'informations, consultez la publication Déploiement et gestion de VMware NSX Application Platform.
  4. Fonctionnalité Activer Prévention des logiciels malveillants de NSX sur la plate-forme.

Une fois la fonctionnalité Prévention des logiciels malveillants de NSX activée sur Plate-forme d'application NSX, la page des paramètres Protection contre les programmes malveillants affiche la section Liste autorisée. Vous devrez peut-être actualiser la page plusieurs fois pour afficher cette section.

Liste autorisée
À l'aide de l'interface utilisateur ou de l'API NSX Manager, vous pouvez remplacer ou supprimer le verdict du fichier que NSX a calculé. Ce verdict de fichier remplacé est prioritaire sur le verdict calculé par NSX. Le tableau Liste autorisée affiche tous les fichiers avec le verdict supprimé. Ce tableau est initialement vide. Lorsque vous commencez à surveiller les événements de fichiers dans votre centre de données à l'aide du tableau de bord Protection contre les programmes malveillants et supprimez les verdicts de fichiers en fonction de vos exigences de sécurité spécifiques, les fichiers supprimés sont ajoutés au tableau Liste autorisée.

Pour en savoir plus sur les verdicts de fichiers de remplacement, reportez-vous à la section Ajouter un fichier à la liste autorisée.