Un profilo di prevenzione malware determina le categorie di file che si desidera vengano analizzate per rilevare la presenza di malware e se si desidera che NSX invii i file al cloud per un'analisi dettagliata.

È possibile utilizzare il profilo di prevenzione malware predefinito nelle regole del firewall o aggiungere nuovi profili in base ai requisiti dei criteri di sicurezza. Nel profilo è possibile selezionare le categorie di file che Prevenzione malware NSX dovrebbe acquisire e analizzare per rilevare eventuali comportamenti dannosi. L'analisi dei file viene eseguita in locale nei nodi di trasporto host di NSX e nei nodi di trasporto Edge di NSX attivati per Prevenzione malware NSX. Se si sceglie di inviare i file al cloud, anche nel cloud viene eseguita un'analisi dettagliata dei file.

Quando si applica il profilo alle regole di prevenzione malware distribuita, Prevenzione malware NSX analizza i file intercettati o acquisiti nei nodi di trasporto host. Quando si applica il profilo alle regole di prevenzione malware del gateway, Prevenzione malware NSX analizza i file intercettati o acquisiti nei nodi di trasporto Edge.

È possibile aggiungere più profili di prevenzione malware con configurazioni diverse e utilizzare profili separati nelle regole del firewall di prevenzione malware distribuita e nelle regole del firewall di prevenzione malware del gateway. Nelle regole del firewall di ogni gateway di livello 1 attivato per Prevenzione malware NSX è possibile utilizzare un profilo diverso. Si supponga ad esempio di disporre di due profili: A e B. Nella configurazione del profilo A, si sceglie di non inviare i file al cloud per l'analisi, mentre nel profilo B si sceglie di inviare i file al cloud per l'analisi. Si decide quindi di utilizzare il profilo A per le regole di prevenzione malware distribuita e il profilo B per le regole di prevenzione malware del gateway.

Attenzione: È necessario prestare attenzione quando si utilizzano configurazioni diverse o incoerenti del profilo di prevenzione malware per le regole di prevenzione malware distribuita e le regole di prevenzione malware del gateway o quando si utilizzano configurazioni di profilo diverse in ogni gateway di livello 1 attivato per Prevenzione malware NSX. Se si utilizzano configurazioni di profilo diverse, è possibile che NSX restituisca un verdetto diverso per un file a seconda di dove viene intercettato il file, ovvero nodo di trasporto host o nodo di trasporto Edge. L'analisi dei file nel cloud esegue un'ispezione approfondita dei contenuti che include il sandboxing e le tecniche di apprendimento automatico. Questa ispezione approfondita dei contenuti può rilevare comportamenti malware con una maggiore precisione. L'analisi del file in locale non dispone di risorse sufficienti per eseguire un'analisi così approfondita e può quindi fornire risultati meno precisi.

È possibile collegare un solo profilo di prevenzione malware alla volta a una regola del firewall. Tuttavia, un singolo profilo di prevenzione malware può essere collegato a più regole di prevenzione malware distribuita e regole di prevenzione malware del gateway contemporaneamente, se necessario.

Prerequisiti

Configurare NSX per Prevenzione malware NSX.

Per istruzioni dettagliate, vedere Preparazione del data center per NSX IDS/IPS e Prevenzione malware NSX.

Procedura

  1. Dal browser, accedere con privilegi di utente admin a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
  2. Passare a Sicurezza > IDS/IPS e prevenzione malware > Profili > Prevenzione malware.
  3. Fare clic su Aggiungi profilo.
  4. Immettere un nome per il profilo.
  5. (Facoltativo) Immettere una descrizione per il profilo e aggiungere tag.
  6. Selezionare le categorie di file da includere per l'analisi del file locale e l'analisi dei file cloud. Per impostazione predefinita, sono selezionate tutte le categorie.
  7. (Facoltativo) Deselezionare la casella di controllo Inviare file al servizio cloud VMware NSX Advanced Threat Prevention.
    Per impostazione predefinita, è selezionata l'analisi del file nel cloud.
  8. Fare clic su Salva.

risultati

Il profilo di prevenzione malware viene salvato e la colonna Stato indica lo stato Operazione eseguita.

Operazioni successive

Collegare questo profilo alle regole di prevenzione del malware del gateway o alle regole di prevenzione malware distribuita oppure a entrambi, in base ai requisiti dei criteri di sicurezza.