マルウェア防止プロファイルは、マルウェアを分析するファイルのカテゴリを特定し、NSX-T が詳細な分析のためにファイルをクラウドに送信するかどうかを決定します。

ファイアウォール ルールでデフォルトのマルウェア防止プロファイルを使用することも、セキュリティ ポリシーの要件に応じて新しいプロファイルを追加することもできます。このプロファイルでは、NSX マルウェア防止 がキャプチャし、悪意のある動作を分析するファイル カテゴリを選択できます。ファイルの分析は、NSX マルウェア防止 が有効になっている NSX ホスト トランスポート ノードと NSX Edge トランスポート ノードのローカルで実行されます。ファイルをクラウドに送信することを選択した場合は、詳細なファイル分析もクラウド上で実行されます。

NSX-T 3.2 では、分散マルウェア防止ファイアウォール ルールでサポートされるファイル カテゴリに、いくつかの制限が適用されます。詳細については、NSX マルウェア防止でサポートされるファイル カテゴリを参照してください。

分散マルウェア防止ルールにプロファイルを適用すると、NSX マルウェア防止 はホスト トランスポート ノードでインターセプトまたはキャプチャされたファイルを分析します。ゲートウェイ マルウェア防止ルールにプロファイルを適用すると、NSX マルウェア防止 は Edge トランスポート ノードでインターセプトまたはキャプチャされたファイルを分析します。

異なる構成の複数のマルウェア防止プロファイルを追加し、分散マルウェア防止ファイアウォール ルールとゲートウェイ マルウェア防止ファイアウォール ルールで別々のプロファイルを使用できます。NSX マルウェア防止 が有効になっている各 Tier-1 ゲートウェイのファイアウォール ルールで、別のプロファイルを使用できます。たとえば、A と B の 2 つのプロファイルがあり、プロファイル A の構成では分析用のファイルをクラウドに送信し、プロファイル B では分析用のファイルをクラウドに送信するとします。分散マルウェア防止ルールにはプロファイル A を使用し、ゲートウェイ マルウェア防止ルールにはプロファイル B を使用します。

注意: 分散マルウェア防止ルールとゲートウェイ マルウェア防止ルールに使用するマルウェア防止プロファイル構成が異なっていたり、整合性がない場合は注意が必要です。また、 NSX マルウェア防止 で有効になっている Tier-1 ゲートウェイごとに異なるプロファイル構成を使用する場合にも注意が必要です。異なるプロファイル構成を使用すると、ファイルがインターセプトされる場所(ホスト トランスポート ノードまたは Edge トランスポート ノード)に応じて、 NSX-T が異なる判定を返す可能性があります。クラウド ファイル分析では、サンドボックスや機械学習技術などを使用して、詳細なコンテンツ検査が実行されます。この詳細なコンテンツ検査では、マルウェアの動作をより正確に検出することができます。ローカル ファイル分析では、このような詳細な分析の実行に十分なリソースがないため、結果の精度が低くなる可能性があります。

1 つのファイアウォール ルールに一度に適用できるマルウェア防止プロファイルは 1 つだけです。ただし、必要に応じて、1 つのマルウェア防止プロファイルを複数の分散マルウェア防止ルールとゲートウェイ マルウェア防止ルールに同時に適用できます。

前提条件

NSX マルウェア防止 用に NSX-T Data Center を設定します。

詳細な手順については、NSX IDS/IPS および NSX マルウェア防止のためのデータセンターの準備を参照してください。

手順

  1. ブラウザから NSX Manager (https://nsx-manager-ip-address) に管理者権限でログインします。
  2. [セキュリティ] > [IDS/IPS とマルウェア防止] > [プロファイル] > [マルウェア防止] に移動します。
  3. [プロファイルの追加] をクリックします。
  4. プロファイルの名前を入力します。
  5. (オプション) プロファイルの説明を入力して、タグを追加します。
  6. (ゲートウェイ マルウェア防止ルールの場合のみ):ローカル ファイル分析とクラウド ファイル分析の対象にするファイルのカテゴリを選択します。デフォルトでは、すべてのカテゴリが選択されています。
    注: NSX-T Data Center 3.2 では、 [ファイルのカテゴリ] オプションはゲートウェイ マルウェア防止ルールにのみ適用されます。分散マルウェア防止ルールでは、マルウェアの検出と防止は、Windows ゲスト エンドポイント(仮想マシン)上の Windows ポータブル実行可能ファイル (PE) ファイルでのみサポートされます。現在、その他のファイル カテゴリは、仮想マシン上のマルウェアの検出と防止でサポートされていません。つまり、 NSX-T は、分散マルウェア防止ルールの [ファイルのカテゴリ] オプションを無視します。
  7. (オプション) [Send files to NSX Advanced Threat Prevention cloud service(NSX Advanced Threat Prevention クラウド サービスにファイルを送信します)] チェック ボックスの選択を解除します。
    デフォルトでは、クラウド ファイルの分析が選択されています。
  8. [保存] をクリックします。

結果

マルウェア防止プロファイルが保存され、 [状態] 列に「 成功」が表示されます。

次のタスク

セキュリティ ポリシーの要件に応じて、このプロファイルをゲートウェイ マルウェア防止ルール、分散マルウェア防止ルール、またはその両方に適用します。