NSX Manager ユーザー インターフェイスには、分散ファイアウォールに NSX 侵入検知/防止と NSX マルウェア防止 のルールを追加するための共通のルール テーブルがあります。

  • NSX 4.0 では、分散 East-West トラフィックでのマルウェアの検出と防止は、Windows ゲスト エンドポイント(仮想マシン)上の GI シン エージェントによって抽出された Windows Portable Executable (PE) ファイルでのみサポートされます。その他のファイル カテゴリは NSX Distributed Malware Prevention でサポートされていません。
  • NSX 4.0.1.1 以降では、分散 East-West トラフィックでのマルウェアの検出と防止が、Windows と Linux の両方のゲスト エンドポイントのすべてのファイル カテゴリでサポートされます。サポートされているファイル カテゴリのリストについては、NSX マルウェア防止でサポートされるファイル カテゴリを参照してください。
  • サポートされるファイル サイズの上限は 64 MB です。

前提条件

NSX マルウェア防止 の場合:
  • NSX マルウェア防止 サービス仮想マシンは、NSX 用に準備された vSphere ホスト クラスタに展開されます。詳細な手順については、NSX Distributed Malware Prevention サービスの展開を参照してください。
  • マルウェア防止プロファイルの追加
  • グループを作成し、これらのグループにマルウェアから保護する仮想マシンを追加します。仮想マシンを静的メンバーとして追加することも、仮想マシンで有効なメンバーとして評価される動的メンバーシップ基準を定義することもできます。詳細な手順については、グループの追加を参照してください。
NSX IDS/IPS の場合:
  • NSX IDS/IPS プロファイルの追加
  • vSphere ホスト クラスタで NSX IDS/IPS を有効または無効にします([セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] > [共有])。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] > [IDS/IPS とマルウェア防止] > [分散ルール] に移動します。
  3. [ポリシーの追加] をクリックして、ルールを整理するセクションを作成します。
    1. ポリシーの名前を入力します。
    2. (オプション) ポリシー行で歯車アイコンをクリックして、詳細なポリシー オプションを構成します。これらのオプションは、NSX Distributed IDS/IPS にのみ適用されます。NSX Distributed Malware Prevention には適用されません。
      オプション 説明

      ステートフル

      ステートフル ファイアウォールは、アクティブな接続の状態をモニターし、この情報を使用してファイアウォールの通過を許可するパケットを決定します。

      ロック済み

      複数のユーザーが同じセクションを編集できないように、ポリシーをロックできます。セクションをロックする場合は、コメントを含める必要があります。

      エンタープライズ管理者などの一部のロールにはフル アクセスの認証情報があるため、ロックアウトできません。ロールベースのアクセス コントロール を参照してください。

  4. [ルールの追加] をクリックして、ルールを構成します。
    1. ルールの名前を入力します。
    2. IDS 検査を必要とするトラフィックに基づいて、[送信元][宛先][サービス] の各列を構成します。IDS は、送信元および宛先に汎用と IP アドレスのみのグループ タイプをサポートします。
      これらの 3 つの列は、分散マルウェア防止ファイアウォール ルールではサポートされていません。これらは [任意] のままにします。ただし、 [適用先] 列でグループを選択して、分散マルウェア防止ルールの範囲を制限する必要があります。
    3. [セキュリティ プロファイル] 列で、このルールに使用するプロファイルを選択します。
      NSX IDS/IPS プロファイルまたは NSX マルウェア防止 プロファイルを選択できますが、両方を選択することはできません。つまり、1 つのルールでサポートされるセキュリティ プロファイルは 1 つのみです。
    4. [適用先] 列で、いずれか 1 つのオプションを選択します。
      オプション 説明
      分散ファイアウォール (DFW) 現在、分散マルウェア防止ルールの [適用先] に DFW を使用できません。分散 IDS/IPS ルールは DFW に適用できます。IDS/IPS ルールは、NSX IDS/IPS で有効になっているすべてのホスト クラスタのワークロード仮想マシンに適用されます。
      グループ ルールは、選択したグループのメンバーである仮想マシンにのみ適用されます。
    5. [モード] 列で、いずれか 1 つのオプションを選択します。
      オプション 説明
      検出のみ

      NSX マルウェア防止 サービスの場合:このルールは、仮想マシン上の悪質なファイルを検出しますが、予防的なアクションは実行されません。つまり、悪質なファイルが仮想マシンにダウンロードされます。

      NSX IDS/IPS サービスの場合:このルールは、シグネチャを使用して侵入を検出しますが、アクションは実行されません。

      検出して防止

      NSX マルウェア防止 サービスの場合:このルールは、仮想マシン上に存在する既知の悪質なファイルを検出し、仮想マシンへのダウンロードを防ぎます。

      NSX IDS/IPS サービスの場合:このルールは、シグネチャを使用して侵入を検出し、IDS/IPS プロファイルまたはグローバル署名構成のシグネチャ構成に応じてトラフィックをドロップまたは拒否します。

    6. (オプション) 歯車アイコンをクリックして、他のルールの設定を構成します。これらの設定は、NSX Distributed IDS/IPS にのみ適用されます。NSX Distributed Malware Prevention には適用されません。
      オプション 説明
      ログの記録 ログの記録はデフォルトで無効になっています。ログは ESXi ホストの /var/log/dfwpktlogs.log ファイルに保存されます。
      方向 このフィールドは、ゲートウェイのアップリンク インターフェイスまたはサービス インターフェイスから見たトラフィックの方向を示します。IN は、オブジェクトへのトラフィックのみがチェックされます。OUT は、オブジェクトからのトラフィックのみがチェックされます。In-Out は、両方向のトラフィックがチェックされます。
      IP プロトコル IPv4、IPv6、または IPv4 と IPv6 の両方に基づくルールを適用します。
      オーバーサブスクリプション NSX 4.0.1.1 以降では、オーバーサブスクリプションが発生した場合、超過トラフィックをドロップするか、IDS/IPS エンジンをバイパスするかを構成できます。ここで入力した値は、グローバル設定でオーバーサブスクリプションに設定された値を上書きします。
      ログ ラベル ログを有効にすると、ログ ラベルがファイアウォール ログに保存されます。
  5. (オプション) 手順 4 を繰り返して、同じポリシーにルールを追加します。
  6. [公開] をクリックします。
    ルールが保存され、ホストにプッシュされます。グラフ アイコンをクリックすると、 NSX Distributed IDS/IPS のルール統計情報を表示できます。
    注: NSX Distributed Malware Prevention ファイアウォール ルールのルール統計情報はサポートされていません。

結果

エンドポイント仮想マシンでファイルを抽出すると、ファイル イベントが生成され、[マルウェア防止] ダッシュボードと [セキュリティの概要] ダッシュボードに表示されます。ファイルが悪質な場合は、セキュリティ ポリシーが適用されます。ファイルが無害な場合は、仮想マシンにダウンロードされます。

IDS/IPS プロファイルで構成されたルールの場合、システムが悪質なトラフィックを検出すると、侵入イベントが生成され、[IDS/IPS] ダッシュボードに表示されます。ルールで構成したアクションに基づいて、トラフィックのアラームがドロップ、拒否、または生成されます。

仮想マシン エンドポイントでマルウェアの検出と防止を行う分散ファイアウォール ルールを構成する際の詳しい例については、 例:NSX Distributed Malware Preventionでのルールの追加を参照してください。

次のタスク

[マルウェア防止] ダッシュボードでファイル イベントをモニターし、分析します。詳細については、ファイル イベントのモニタリングを参照してください。

[IDS/IPS] ダッシュボードで侵入イベントをモニターし、分析します。詳細については、 IDS/IPS のモニタリングを参照してください。