構成を行わずに [IDS/IPS とマルウェア防止の設定] ウィザードをスキップした場合、または構成プロセスの途中でウィザードをスキップした場合は、[IDS/IPS とマルウェア防止の設定] ページから構成プロセスを続行できます。

NSX Manager ユーザー インターフェイスでこのページを開くには、[セキュリティ] > [IDS/IPS とマルウェア防止] > [設定] に移動します。

構成は、次の 3 つのタブ ページにグループ化されます。
  • 共有
  • IDS/IPS
  • マルウェア防止

共有設定

その名前が示すように、これらの設定は NSX IDS/IPS と NSX Malware Preventionで共通です。
インターネット プロキシ サーバの構成

NSX IDS/IPS が機能するには、必ずしもインターネット接続は必要ありません。NSX IDS/IPS は、侵入の検出と防止にシグネチャを使用します。NSX 環境がインターネットに接続している場合、NSX Manager はインターネットから直接、または NSX プロキシ サーバを介して、最新の侵入検知シグネチャを自動的にダウンロードできます。NSX 環境でインターネット接続が構成されていない場合は、API を使用して NSX 侵入検知シグネチャ バンドル (.zip) ファイルを手動でダウンロードし、それを NSX Manager にアップロードできます。シグネチャの手動アップロードの詳細については、「オフラインでの NSX 侵入検知シグネチャのダウンロードとアップロード」を参照してください。

NSX Malware Prevention はまた、マルウェアの検出と防止にシグネチャを使用します。ただし、NSX Manager は、NSX 環境がインターネットに接続できる場合にのみ、最新のシグネチャをダウンロードできます。最新のシグネチャを手動で NSX Manager にアップロードすることはできません。NSX Malware Prevention はまた、詳細なクラウド ファイル分析のためにファイルを NSX Advanced Threat Prevention クラウド サービスに送信します。ファイルは、NSX Manager ではなく、NSX アプリケーション プラットフォーム によってクラウドに送信されます。NSX アプリケーション プラットフォーム はプロキシ サーバの構成をサポートしていないため、インターネットに直接アクセスする必要があります。

NSX Manager が NSX プロキシ サーバ経由でインターネットにアクセスする場合は、[インターネット プロキシ サーバ] リンクをクリックして、次の設定を指定します。

  • スキーム(HTTP または HTTPS)
  • ホストの IP アドレス
  • ポート番号
  • ユーザー名とパスワード
マルウェア防止と IDS/IPS 展開の範囲を定義する

[East-West トラフィックでホストとクラスタを有効にする] セクションで、次の構成を行います。

  • スタンドアローン ESXi ホストで NSX IDS/IPS を有効にします。
  • East-West トラフィックで NSX IDS/IPS を有効にする ESXi ホスト クラスタを選択します。
  • NSX Distributed Malware Prevention サービスが ESXi ホスト クラスタに展開されていない場合は、[マルウェア防止] 列の [サービス仮想マシンの展開で定義] リンクをクリックします。ホスト クラスタに NSX Distributed Malware Prevention サービスを展開する手順については、NSX 分散マルウェア防止サービスの展開を参照してください。
[North-South トラフィックでゲートウェイを有効にする] セクションで、次の構成を行います。
  • North-South トラフィックで NSX IDS/IPS を有効にするゲートウェイを選択します。
  • North-South トラフィックで NSX Malware Preventionを有効にする Tier-1 ゲートウェイを選択します。
重要: NSX では、North-South トラフィックに対して次のようにサポートされます。
  • NSX Malware Prevention は、Tier-1 ゲートウェイでのみサポートされます。
  • ゲートウェイ ファイアウォールの NSX IDS/IPS は、Tier-0 と Tier-1 の両方のゲートウェイでサポートされます。

IDS/IPS 設定

データセンターでインターネット接続が構成されている場合、NSX Manager は、デフォルトで 20 分ごとにクラウド上の新しい侵入検知シグネチャの可用性を確認します。新しい更新が利用可能になると、各ページのバナーに [今すぐ更新] リンクが表示されます。

データセンターがインターネットに接続していない場合は、IDS シグネチャ バンドル (.zip) ファイルを手動でダウンロードして、NSX Manager にアップロードできます。詳細な手順については、オフラインでの NSX 侵入検知シグネチャのダウンロードとアップロードを参照してください。

このページでは、次のシグネチャ管理タスクを実行できます。

  • シグネチャのバージョンを表示したり、デフォルト以外の別のバージョンのシグネチャを追加するには、[表示して変更] をクリックします。

    現在、シグネチャの 2 つのバージョンが維持されます。バージョンのコミット識別番号が変更されるたびに、新しいバージョンがダウンロードされます。

  • クラウドから侵入検知シグネチャを自動的にダウンロードして、データセンター内のホストと Edge に適用するには、[自動更新] をオンにします。

    このオプションをオフにすると、シグネチャの自動ダウンロードが停止します。IDS シグネチャ バンドル (.zip) ファイルを手動でダウンロードしてから、ファイルを NSX Manager にアップロードできます。

  • トランスポート ノードでのシグネチャのダウンロードの状態を表示するには、[状態] フィールドのリンクをクリックします。
  • 特定のシグネチャをグローバルに除外したり、そのアクションをアラート、ドロップ、または却下に変更するには、[シグネチャ セットの表示と管理] をクリックします。

    シグネチャに [アクション] を選択し、[保存] をクリックします。グローバル シグネチャ管理の設定で行った変更は、すべての IDS/IPS プロファイルに適用されます。ただし、IDS/IPS プロファイルのシグネチャ設定を更新する場合は、プロファイル設定が優先されます。

    次の表で、各シグネチャ アクションの意味について説明します。

    アクション 説明

    アラート

    アラートが生成されますが、予防処置は自動的には実行されません。

    ドロップ

    アラートが生成され、問題のあるパケットがドロップされます。

    却下

    アラートが生成され、問題のあるパケットがドロップされます。TCP フローの場合、IDS によって TCP リセット パケットが生成され、接続の送信元と宛先に送信されます。その他のプロトコルの場合は、接続の送信元と宛先に ICMP エラー パケットが送信されます。

次の詳細設定を管理することもできます。

  • IDS/IPS イベントを外部 Syslog コンシューマに送信するには、[Syslog] トグルをオンにします。
  • オーバーサブスクリプションが発生した場合に、過剰なトラフィックをドロップするか、IDS/IPS エンジンをバイパスするかを構成するには、[オーバーサブスクリプション] フィールドで適切なオプションをクリックします。

マルウェア防止設定

NSX Malware Preventionでは、特定のマイクロサービスを NSX アプリケーション プラットフォーム に展開する必要があります。

NSX アプリケーション プラットフォーム がデータセンターに展開されていない場合、このページには次のタイトルが表示されます。

マルウェア防止はまだ展開されていません。
次の操作を行います。
  1. 画面上のテキストを読み、[NSX Application Platform に移動する] をクリックします。
  2. プラットフォームの展開を続行する前に、https://docs.vmware.com/jp/VMware-NSX-T-Data-Center/index.htmlにある『VMware NSX Application Platform の展開と管理』で NSX アプリケーション プラットフォーム 展開のチェックリストを参照してください。リンク先の左側のナビゲーション ペインで、製品バージョンを展開して、ドキュメント名をクリックします。
  3. NSX アプリケーション プラットフォーム を展開します。詳細については、『VMware NSX Application Platform の展開と管理』を参照してください。
  4. プラットフォームでNSX Malware Preventionの有効化を行います。

NSX アプリケーション プラットフォームNSX Malware Prevention機能が有効になると、[マルウェア防止] 設定ページに [許可リスト] セクションが表示されます。このセクションを表示するために、ページの更新が数回必要になる場合があります。

許可リスト
NSX Manager ユーザー インターフェイスまたは API を使用すると、 NSX が計算したファイルの判定をオーバーライドまたは抑止できます。このオーバーライドされたファイルの判定は、 NSX で計算された判定よりも優先されます。許可リスト テーブルには、抑止された判定を含むすべてのファイルが表示されます。このテーブルは最初は空です。 [マルウェア防止] ダッシュボードを使用してデータセンター内のファイル イベントのモニタリングを開始し、特定のセキュリティ要件に基づいてファイルの判定を抑止すると、抑止されたファイルが許可リスト テーブルに追加されます。

ファイルの予測のオーバライドについては、許可リストへのファイルの追加を参照してください。