例：NSX Distributed Malware Preventionでのルールの追加

この例では、分散マルウェア防止ファイアウォールルールを使用してセキュリティポリシーを作成し、組織内でデータベースサーバと Web サーバを実行している Windows ワークロード仮想マシンに存在する悪質なポータブル実行ファイルを検出して、防止します。

この目標を達成するには、NSX で NSX Distributed Malware Prevention サービスを使用します。この例では、タグに基づく動的メンバーシップ基準を使用して、データベースサーバと Web サーバのワークロード仮想マシンをグループ化します。

仮定：

ワークロード仮想マシンのグループ化に必要なタグは、次のように NSX インベントリにすでに追加されています。
- タグ名：DB、スコープ：サーバ
- タグ名：WEB、スコープ：サーバ
DB タグは、VM1、VM2、VM3 の 3 つのデータベースワークロード（Windows 仮想マシン）に割り当てられます。
WEB タグは、VM4、VM5、VM6 の 3 つのアプリケーションワークロード（Windows 仮想マシン）に割り当てられます。
マルウェア防止プロファイルで [クラウドファイルの分析] オプションが選択されています。

前提条件

NSX マルウェア防止サービス仮想マシンは、ワークロード仮想マシンが実行されている vSphere ホストクラスタに展開されます。詳細な手順については、NSX Distributed Malware Prevention サービスの展開を参照してください。

手順

ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。

データベースワークロード仮想マシンとアプリケーションワークロード仮想マシンを 2 つのグループに編成します。

[インベントリ] > [グループ] に移動します。
[グループの追加] をクリックします。
次のスクリーンショットのように、タグに基づく動的メンバーシップ基準を持つ 2 つのグループを作成し、仮想マシンをメンバーとして使用します。

[グループ] ページで、グループごとに [メンバーの表示] をクリックして、有効なメンバーが表示されていることを確認します。

グループ名	有効なメンバー
DB-Servers	VM1、VM2、VM3
Web-Servers	VM4、VM5、VM6

[セキュリティ] > [IDS/IPS とマルウェア防止] > [分散ルール] に移動します。
[ポリシーの追加] をクリックしてセクションを作成し、ポリシーの名前を入力します。
たとえば、 Malware-Prevention-Rules と入力します。
[ルールの追加] をクリックして、ルールを構成します。
1. ルールの名前を入力します。
  たとえば、 Protect-DB-Web-Servers と入力します。
2. [送信元]、[宛先]、[サービス] 列で、「任意」を保持します。
3. [セキュリティプロファイル] 列で、このルールに使用するマルウェア防止プロファイルを選択します。
4. [適用先] 列で、以前に作成した [DB-Servers] と [Web-Servers] グループを選択します。
5. [モード] 列で、[検出して防止] を選択します。
ルールを公開します。

結果

ルールがホストにプッシュされます。

ワークロード仮想マシンで Windows ポータブル実行ファイル (PE) ファイルが検出されると、ファイルイベントが生成され、[マルウェア防止] ダッシュボードに表示されます。ファイルが無害な場合、ファイルはワークロード仮想マシンにダウンロードされます。ファイルが既知のマルウェアで（ファイルが NSX の既知のマルウェアファイルのシグネチャと一致）、ルールで [検出して防止] モードが指定されている場合、ワークロード仮想マシンで悪質なファイルがブロックされます。

ファイルが不明なマルウェア（ゼロデイ脅威）で、データセンターで初めて検出された場合、ファイルはワークロード仮想マシンにダウンロードされます。ローカルファイル分析またはクラウドファイル分析によって NSX が悪質なファイルと判定した場合、この判定はデータセンター内の他の ESXi ホストと NSX Edge に配布され、NSX マルウェア防止で有効になります。NSX マルウェア防止によって保護されているワークロード仮想マシンのいずれかで同じハッシュを持つファイルが再度検出されると、セキュリティポリシーが適用され、ワークロード仮想マシンで悪質なファイルがブロックされます。