シグネチャは、検出と報告が必要なネットワーク侵入のタイプのパターンを指定します。シグネチャに一致するトラフィック パターンが見つかると、アラートを生成したり、トラフィックの宛先への到達をブロックするなど、事前定義されたアクションが実行されます。
IDS の実装は、次の方法で行われます。
- ナレッジベースのシグネチャ:ナレッジベースのシグネチャには、既知のタイプの攻撃に対応する特定の情報またはパターンが組み込まれています。このアプローチでは、IDS はシグネチャで指定された既知の悪質な命令シーケンスに基づいて侵入を検出しようとします。したがって、ナレッジベースのシグネチャは、すでに知られている攻撃に限定されるため、標的型またはゼロデイの脅威には対応できません。
- 動作ベースの検出:動作ベースの検出は、ベースラインまたは通常のトラフィックとは異なるイベントや異常なイベントを特定することによって、アノマリな動作を特定しようとします。
これらのイベントは情報と呼ばれ、ネットワーク内の異常なアクティビティを特定するイベントで構成されます。これは、必ずしも悪質とは限りませんが、侵害の調査に有益な情報を提供する可能性があります。シグネチャは、IDS エンジンを再コンパイルまたは変更することなく更新できるカスタム検出ロジックと一緒にバンドルされます。動作ベースの検出では、新しい IDS 侵入の重要度レベルが「不審」になっています。
- マルチ テナント
-
NSX+ はマルチテナント環境であるため、NSX+ IDS/IPS マルチテナントに適用される次の条件に注意してください。
- シグネチャ管理と NSX+ IDS/IPS の設定は、デフォルトのプロジェクトでのみ編集できます。カスタム プロジェクトの設定は表示できますが、編集することはできません。
- プロジェクト間で構成の分離はありません。つまり、プロジェクトごとに異なる IDS/IPS 設定を持つことはできません。設定の有効化または無効化、およびシグネチャ バンドルのダウンロードと割り当てはすべて、デフォルトのプロジェクトでのみ実行できます。
- プロファイルとルールは、デフォルト プロジェクトとカスタム プロジェクトの両方から管理できます。
- デフォルトのプロジェクトで作成されたルールに、テナント コンテキストはありません。
- ユーザーは、カスタム プロジェクトにルールを作成できます。このルールにはテナント コンテキストがあります。
- カスタム プロジェクトに対してトリガされたイベントには、テナント コンテキストがあります。
- カスタム プロジェクトの場合、NSX+ IDS/IPS モニタリング ダッシュボードには、そのプロジェクトに対してトリガされたイベントのみが表示されます。
