NSX-T IDS/IPS は、クラウドベースのサービスをチェックしてホストに自動的にシグネチャを適用し、侵入検知のシグネチャを更新します。

IDS/IPS を機能させるには、分散ファイアウォール (DFW) を有効にする必要があります。トラフィックが DFW ルールでブロックされると、IDS/IPS はトラフィックを確認できません。

スタンドアローン ホストで侵入検知/防御を有効にするには [有効] バーを切り替えます。vCenter Server クラスタが検出された場合は、クラスタを選択して [有効] をクリックし、クラスタごとに IDS/IPS を有効にできます。

シグネチャ

シグネチャは、プロファイルによって IDS ルールに適用されます。一致するトラフィックに対して 1 つのプロファイルが適用されます。デフォルトでは、NSX Manager は 1 日に 1 回新しいシグネチャを確認します。新しいシグネチャの更新バージョンは 2 週間ごとに公開されます(スケジュールが設定されていないゼロデイの更新もあります)。新しい更新が利用可能になると、各ページのバナーに [今すぐ更新] リンクが表示されます。

[新しいバージョンに自動更新] が選択されている場合、シグネチャがクラウドからダウンロードされ、自動的にホストに適用されます。自動更新が無効になっている場合、シグネチャは表示されたバージョンのままになります。デフォルト以外の別のバージョンを追加するには、[バージョンの表示と変更] をクリックします。現在、シグネチャの 2 つのバージョンが維持されます。バージョンのコミット識別番号が変更されるたびに、新しいバージョンがダウンロードされます。

NSX Manager がインターネットにアクセスするようにプロキシ サーバが構成されている場合は、[プロキシ設定] をクリックして、設定を完了します。

グローバル シグネチャの管理

シグネチャは、プロファイルによってグローバルに変更できます。プロファイルに行われたシグネチャの変更は、グローバルな変更をオーバーライドします。特定のシグネチャのアクションをアラート/ドロップ/却下にグローバルで変更するには、 [グローバル署名セットの表示と管理] をクリックします。シグネチャに [アクション] を選択し、 [保存] をクリックします。
アクション 説明
アラート アラートが生成されますが、予防処置は自動的に実行されません。
ドロップ アラートが生成され、問題のあるパケットがドロップされます。
却下 アラートが生成され、問題のあるパケットがドロップされます。TCP フローの場合、IDS によって TCP リセット パケットが生成され、接続の送信元と宛先に送信されます。その他のプロトコルの場合は、接続の送信元と宛先に ICMP エラー パケットが送信されます。

オフラインでのシグネチャのダウンロードとアップロード

NSX-T IDS/IPS は、クラウドベースのサービスをチェックしてホストに自動的にシグネチャを適用し、侵入検知のシグネチャを更新します。IDS/IPS シグネチャをダウンロードするには、https://api.prod.nsxti.vmware.com/ に移動します。新しいシグネチャの更新を取得するため、アップグレード後の NSX 環境が https://api.prod.nsxti.vmware.com/ にアクセスできることを確認します。

注: tar.gz ファイルに classification.config ファイルと changelog.jsn ファイルが存在しないバンドルはサポートされません。
NSX Manager がインターネットにアクセスできない場合にシグネチャ バンドルをダウンロードしてアップロードするには:
  1. クラウド サービスとの通信を開始する前に、次の API を最初に呼び出します。ライセンス キーは NSX Distributed Threat ライセンスのキーです。client_id は、ユーザーが指定した名前です。Client_secret が生成され、認証 API の要求として使用されます。クライアントが以前に登録されていても、client_id および client_secret にアクセスできない場合、同じ API を使用してクライアントを再登録する必要があります。
    POST https://api.nsx-sec-prod.com/1.0/auth/register 
       
    本文:
    {
    "license_keys":["XXXXX-XXXXX-XXXXX-XXXXX"],
    "device_type":"NSX-Policy-Manager",
    "client_id": "client_username"
    }
    応答:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
  2. 次の API 呼び出しで、client_id と client_secret を使用してクライアントを認証し、IDS シグネチャ API への要求ヘッダーに使用する認証トークンを生成します。トークンの有効期間は 60 分です。トークンが期限切れの場合、クライアントは client_id と client_secret を使用して再認証する必要があります。
    POST https://api.nsx-sec-prod.com/1.0/auth/authenticate
       
    本文:
    {"client_id":"client_username", 
    "client_secret": "Y54+V/rCpEm50x5HAUIzH6aXtTq7s97wCA2QqZ8VyrtFQjrJih7h0alItdQn02T46EJVnSMZWTseragTFScrtIwsiPSX7APQIC7MxAYZ0BoAWvW2akMxyZKyzbYZjeROb/C2QchehC8GFiFNpwqiAcQjrQHwHGdttX4zTQ="
    }
    応答:
    {
        "access_token": "eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg",
        "token_type": "bearer",
        "expires_in": 3600,
        "scope": "[distributed_threat_features]"
    }
  3. このコマンドに対する応答に ZIP ファイルへのリンクが含まれます。NSX Cloud は、git hub リポジトリから 24 時間ごとにシグネチャをダウンロードし、ZIP ファイルに保存します。シグネチャの URL をコピーしてブラウザにペーストすると、ZIP ファイルがダウンロードされます。
    GET https://api.nsx-sec-prod.com/1.0/intrusion-services/signatures
       

    [ヘッダー] タブで、認証キーの access_token 値は認証 API の応答から設定されます。

    Authorization eyJhbGciOiJIUzUxMiJ9.eyJqdGkiOiI3ZjMwN2VhMmQwN2IyZjJjYzM5ZmU5NjJjNmZhNDFhMGZlMTk4YjMyMzU4OGU5NGU5NzE3NmNmNzk0YWU1YjdjLTJkYWY2MmE3LTYxMzctNGJiNS05NzJlLTE0NjZhMGNkYmU3MCIsInN1YiI6IjdmMzA3ZWEyZDA3YjJmMmNjMzlmZTk2MmM2ZmE0MWEwZmUxOThiMzIzNTg4ZTk0ZTk3MTc2Y2Y3OTRhZTViN2MtMmRhZjYyYTctNjEzNy00YmI1LTk3MmUtMTQ2NmEwY2RiZTcwIiwiZXhwIjoxNTU1NTUyMjk0LCJpYXQiOjE1NTU1NDg2OTR9.x4U75GShDLMhyiyUO2B9HIi1Adonzx3Smo01qRhvXuErQSpE_Kxq3rzg1_IIyvoy3SJwwDhSh8KECtGW50eCPg
    応答:
    {
    "signatures_url": "https://ncs-idps-us-west-2-prod-signatures.s3.us-west-2.amazonaws.com/a07fe284ff70dc67194f2e7cf1a8178d69570528.zip?X-Amz-Security-Token=IQoJb3JpZ2luX2VjENf%2F%2F%2F%2F%2F%2F%2F%2F%2F%2FwEaCXVzLXdlc3QtMSJHMEUCIG1UYbzfBxOsm1lvdj1k36LPyoPota0L4CSOBMXgKGhmAiEA%2BQC1K4Gr7VCRiBM4ZTH2WbP2rvIp0qfHfGlOx0ChGc4q6wEIHxABGgw1MTAwMTM3MTE1NTMiDA4H4ir7eJl779wWWirIAdLIx1uAukLwnhmlgLmydZhW7ZExe%2BamDkRU7KT46ZS93mC1CQeL00D2rjBYbCBiG1mzNILPuQ2EyxmqxhEOzFYimXDDBER4pmv8%2BbKnDWPg08RNTqpD%2BAMicYNP7WlpxeZwYxeoBFruCDA2l3eXS6XNv3Ot6T2a%2Bk4rMKHtZyFkzZREIIcQlPg7Ej5q62EvvMFQdo8TyZxFpMJBc4IeG0h1k6QZU1Jlkrq2RYKit5WwLD%2BQKJrEdf4A0YctLbMCDbNbprrUcCADMKyclu8FOuABuK90a%2BvnA%2FJFYiJ32eJl%2Bdt0YRbTnRyvlMuSUHxjNAdyrFxnkPyF80%2FQLYLVDRWUDatyAo10s3C0pzYN%2FvMKsumExy6FIcv%2FOLoO8Y9RaMOTnUfeugpr6YsqMCH0pUR4dIVDYOi1hldNCf1XD74xMJSdnviaxY4vXD4bBDKPnRFFhOxLTRFAWVlMNDYggLh3pV3rXdPnIwgFTrF7CmZGJAQBBKqaxzPMVZ2TQBABmjxoRqCBip8Y662Tbjth7iM2V522LMVonM6Tysf16ls6QU9IC6WqjdOdei5yazK%2Fr9g%3D&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20191202T222034Z&X-Amz-SignedHeaders=host&X-Amz-Expires=3599&X-Amz-Credential=ASIAXNPZPUTA6A7V7P4X%2F20191202%2Fus-west-1%2Fs3%2Faws4_request&X-Amz-Signature=d85ca4aef6abe22062e2693acacf823f0a4fc51d1dc07cda8dec93d619050f5e"
    }
  4. [セキュリティ] > [分散 IDS] > [設定] の順に移動します。右隅にある [IDS シグネチャのアップロード] をクリックします。保存したシグネチャの ZIP ファイルに移動し、ファイルをアップロードします。API 呼び出しを使用して、シグネチャの ZIP をアップロードすることもできます。
    POST https://<mgr-ip>/policy/api/v1/infra/settings/firewall/security/intrusion-services/signatures?action=upload_signatures