NSX-T は、クラウドベースのサービスをチェックしてホストに自動的にシグネチャを適用し、侵入検知のシグネチャを更新します。

IDS を機能させるには、分散ファイアウォール (DFW) を有効にする必要があります。トラフィックが DFW ルールでブロックされると、IDS はトラフィックを確認しません。

スタンドアローン ホストで侵入検知を有効にするには [有効] バーを切り替える必要があります。vCenter Server クラスタが検出された場合は、クラスタを選択して [有効] をクリックし、クラスタごとに IDS を有効にできます。

シグネチャ

シグネチャは、プロファイルによって IDS ルールに適用されます。一致するトラフィックに対して 1 つのプロファイルが適用されます。デフォルトでは、NSX Manager は 1 日に 1 回新しいシグネチャを確認します。新しいシグネチャの更新バージョンは 2 週間ごとに公開されます(スケジュールが設定されていないゼロデイの更新もあります)。新しい更新が利用可能になると、各ページのバナーに [今すぐ更新] リンクが表示されます。

[新しいバージョンに自動更新] が選択されている場合、シグネチャがクラウドからダウンロードされ、自動的にホストに適用されます。自動更新が無効になっている場合、シグネチャは表示されたバージョンのままになります。デフォルト以外の別のバージョンを追加するには、[バージョンの表示と変更] をクリックします。現在、シグネチャの 2 つのバージョンが維持されます。バージョンのコミット識別番号が変更されるたびに、新しいバージョンがダウンロードされます。

NSX Manager がインターネットにアクセスするようにプロキシ サーバが構成されている場合は、[プロキシ設定] をクリックして、設定を完了します。

オフラインでのシグネチャのダウンロードとアップロード

NSX Manager がインターネットにアクセスできない場合にシグネチャ バンドルをダウンロードしてアップロードするには:
  1. クラウド サービスとの通信を開始する前に、次の API を最初に呼び出します。クライアントのライセンス キーを使用してクライアントを登録し、クライアントが使用する認証情報を生成します。すべてのライセンスを送信すると、必要な権限が付与されます。client_id は、ユーザーが指定した名前です。client_secret が生成され、認証 API の要求として使用されます。クライアントが以前に登録されていても、client_idclient_secret にアクセスできない場合、同じ API を使用してクライアントを再登録する必要があります。 
    POST https://api.nsx-sec-prod.com/1.0/auth/register
    本文: 
    {
"license_keys":["xxxxx-xxxxx-xxxxx-xxxxx-xxxxx"],
"device_type":"NSX-Idps-Offline-Download",
"client_id": "client_username"
}
    応答: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
  2. 次の API 呼び出しで、client_id と client_secret を使用してクライアントを認証し、IDS シグネチャ API への要求ヘッダーに使用する認証トークンを生成します。トークンの有効期間は 60 分です。トークンが期限切れの場合、クライアントは client_id と client_secret を使用して再認証する必要があります。
    POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
    本文: 
    {"client_id":"client_username", 
"client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
}
    応答: 
    {
    "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
    "token_type": "bearer",
    "expires_in": 3600,
    "scope": "[idps_scope]"
}
  3. このコマンドに対する応答に ZIP ファイルへのリンクが含まれます。NSXCloud は、git hub リポジトリから 24 時間ごとにシグネチャをダウンロードし、ZIP ファイルに保存します。シグネチャの URL をコピーしてブラウザにペーストすると、ZIP ファイルがダウンロードされます。 
    GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures

    [ヘッダー] タブで、認証キーの access_token 値は認証 API の応答から設定されます。

    Authorization: eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    応答: 
    {
"signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
}
  4. [セキュリティ] > [分散 IDS] > [設定] の順に移動します。右隅にある [IDS シグネチャのアップロード] をクリックします。保存したシグネチャの ZIP ファイルに移動し、ファイルをアップロードします。API 呼び出しを使用して、シグネチャの ZIP をアップロードすることもできます。
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures