Per applicare firme personalizzate alle regole, aggiungerle ai profili IDS.

Procedura

  1. Da NSX Manager passare a Sicurezza > IDS/IPS e Malware Prevention (nella sezione Gestione criteri).
  2. Nella pagina IDS/IPS e Malware Prevention passare alla scheda Profili.
  3. Nella scheda IDS/IPS è possibile scegliere di aggiungere un nuovo profilo o modificare un profilo esistente. Vedere Aggiunta di un profilo NSX IDS/IPS.
  4. Per aggiungere firme personalizzate a un profilo esistente, fare clic sui tre puntini e quindi su Modifica.
  5. Nella sezione Firme IDS selezionare Personalizzate. Viene visualizzato il numero di firme che verranno incluse in tale profilo.
  6. Per definire una firma personalizzata, è essenziale includere il campo dei metadati necessario signature_severity nella sezione Gravità delle intrusioni. Questo campo deve far parte di tutte le firme personalizzate. I valori delle parole chiave possibili per questo campo sono:

    • Critico

    • Alto

    • Medio

    • Basso

    • Sospetta

    Queste gravità della firma verranno visualizzate nell'interfaccia utente e saranno contenute nell'output SYSLOG del motore IDS.

    Quando si importano set di firme da origini di terze parti, diverse parole chiave possono rappresentare la gravità della minaccia da affrontare. Ad esempio, le minacce emergenti utilizzano la parola chiave "Major". Durante la convalida, questa parola chiave verrà rimappata alla gravità "Alta".

  7. Fare clic su Salva.

risultati

Quando una regola viene soddisfatta, è possibile visualizzare i dettagli dell'azione eseguita nella pagina Monitoraggio.

  1. Nella sezione Monitoraggio evento minaccia selezionare IDS/IPS.

  2. Controllare la scheda Monitoraggio per sapere se vengono rilevate intrusioni nelle firme personalizzate applicate alle regole in GFW e DFW.