カスタム シグネチャをルールに適用するには、IDS プロファイルに追加します。

手順

  1. NSX Manager から、[セキュリティ] > [IDS/IPS と Malware Prevention]([ポリシー管理] セクションの下)に移動します。
  2. [IDS/IPS と Malware Prevention] ページで、[プロファイル] タブに移動します。
  3. [IDS/IPS] タブでは、新しいプロファイルを追加するか、既存のプロファイルを編集するかを選択できます。「NSX IDS/IPS プロファイルの追加」を参照してください。
  4. 既存のプロファイルにカスタム シグネチャを追加するには、3 つのドットをクリックし、[編集] をクリックします。
  5. [IDS シグネチャ] セクションで [カスタム] を選択します。そのプロファイルに含まれるシグネチャの数が表示されます。
  6. カスタム シグネチャを定義するには、[侵入の重要度] セクションに必要なメタデータ フィールド signature_severity を含めることが不可欠です。このフィールドは、すべてのカスタム シグネチャの一部である必要があります。このフィールドで使用可能なキーワード値を次に示します。

    • 重大

    • 不審

    これらのシグネチャの重要度はユーザー インターフェイスに表示され、IDS エンジンからの SYSLOG 出力に含まれます。

    サードパーティのソースからシグネチャ セットをインポートする場合、対処する脅威の重要度を表すキーワードが異なる場合があります。たとえば、Emerging Threats は「メジャー」というキーワードを使用します。検証中に、このキーワードは「高」に再マッピングされます。

  7. [保存] をクリックします。

結果

ルールにヒットすると、実行されたアクションの詳細を [監視] ページで表示できます。

  1. [脅威イベントのモニタリング] セクションで、[IDS/IPS] を選択します。

  2. [監視] タブで、GFW および DFW のルールに適用されたカスタム シグネチャに基づいて侵入が検出されたかどうかを確認します。