Un profilo di prevenzione malware determina le categorie di file che si desidera vengano analizzate per rilevare la presenza di malware e se si desidera che NSX invii i file al cloud per un'analisi dettagliata.

È possibile utilizzare il profilo di prevenzione malware predefinito nelle regole del firewall o aggiungere nuovi profili in base ai requisiti dei criteri di sicurezza. Nel profilo è possibile selezionare le categorie di file che Prevenzione malware NSX dovrebbe acquisire e analizzare per rilevare eventuali comportamenti dannosi. L'analisi dei file viene eseguita in locale nei nodi di trasporto host di NSX e nei nodi di trasporto Edge di NSX attivati per Prevenzione malware NSX. Se si sceglie di inviare i file al cloud, anche nel cloud viene eseguita un'analisi dettagliata dei file.

In NSX 4.0, alle categorie di file supportate per le regole del firewall di prevenzione malware distribuita vengono applicate alcune limitazioni. Tuttavia, a partire da NSX 4.0.1.1, le limitazioni sono state rimosse. Per ulteriori informazioni, vedere Categorie di file supportate per Prevenzione malware NSX.

Quando si applica il profilo alle regole di prevenzione malware distribuita, Prevenzione malware NSX analizza i file intercettati o acquisiti nei nodi di trasporto host. Quando si applica il profilo alle regole di prevenzione malware del gateway, Prevenzione malware NSX analizza i file intercettati o acquisiti nei nodi di trasporto Edge.

È possibile aggiungere più profili di prevenzione malware con configurazioni diverse e utilizzare profili separati nelle regole del firewall di prevenzione malware distribuita e nelle regole del firewall di prevenzione malware del gateway. Nelle regole del firewall di ogni gateway di livello 1 attivato per Prevenzione malware NSX è possibile utilizzare un profilo diverso. Si supponga ad esempio di disporre di due profili: A e B. Nella configurazione del profilo A, si sceglie di non inviare i file al cloud per l'analisi, mentre nel profilo B si sceglie di inviare i file al cloud per l'analisi. Si decide quindi di utilizzare il profilo A per le regole di prevenzione malware distribuita e il profilo B per le regole di prevenzione malware del gateway.

Attenzione: È necessario prestare attenzione quando si utilizzano configurazioni diverse o incoerenti del profilo di prevenzione malware per le regole di prevenzione malware distribuita e le regole di prevenzione malware del gateway o quando si utilizzano configurazioni di profilo diverse in ogni gateway di livello 1 attivato per Prevenzione malware NSX. Se si utilizzano configurazioni di profilo diverse, è possibile che NSX restituisca un verdetto diverso per un file a seconda di dove viene intercettato il file, ovvero nodo di trasporto host o nodo di trasporto Edge. L'analisi dei file nel cloud esegue un'ispezione approfondita dei contenuti che include il sandboxing e le tecniche di apprendimento automatico. Questa ispezione approfondita dei contenuti può rilevare comportamenti malware con una maggiore precisione. L'analisi del file in locale non dispone di risorse sufficienti per eseguire un'analisi così approfondita e può quindi fornire risultati meno precisi.

È possibile collegare un solo profilo di prevenzione malware alla volta a una regola del firewall. Tuttavia, un singolo profilo di prevenzione malware può essere collegato a più regole di prevenzione malware distribuita e regole di prevenzione malware del gateway contemporaneamente, se necessario.

Prerequisiti

Configurare NSX per Prevenzione malware NSX.

Per istruzioni dettagliate, vedere Preparazione del data center per NSX IDS/IPS e Prevenzione malware NSX.

Procedura

  1. Dal browser, accedere con privilegi di utente admin a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Sicurezza > IDS/IPS e prevenzione malware > Profili > Prevenzione malware.
  3. Fare clic su Aggiungi profilo.
  4. Immettere un nome per il profilo.
  5. (Facoltativo) Immettere una descrizione per il profilo e aggiungere tag.
  6. Selezionare le categorie di file da includere per l'analisi del file locale e l'analisi dei file cloud. Per impostazione predefinita, sono selezionate tutte le categorie.
    Nota: In NSX 4.0, le opzioni di Categoria file sono applicabili solo alle regole di prevenzione malware del gateway. Per le regole di prevenzione malware distribuita, il rilevamento e la prevenzione dei malware sono supportati solo per i file Portable Executable (PE) di Windows in endpoint guest (macchine virtuali) Windows. Le altre categorie di file non sono supportate per il rilevamento e la prevenzione di malware nelle macchine virtuali. In altre parole, NSX 4.0 ignora le opzioni di Categoria file per le regole di prevenzione malware distribuita.

    A partire da NSX 4.0.1.1, le opzioni di Categoria file sono applicabili sia alle regole di prevenzione malware distribuita sia alle regole di prevenzione malware del gateway.

  7. (Facoltativo) Deselezionare la casella di controllo Inviare file al servizio cloud VMware NSX Advanced Threat Prevention.
    Per impostazione predefinita, è selezionata l'analisi del file nel cloud.
  8. Fare clic su Salva.

risultati

Il profilo di prevenzione malware viene salvato e la colonna Stato indica lo stato Operazione eseguita.

Operazioni successive

Collegare questo profilo alle regole di prevenzione del malware del gateway o alle regole di prevenzione malware distribuita oppure a entrambi, in base ai requisiti dei criteri di sicurezza.