惡意程式碼防護設定檔決定您要針對惡意程式碼進行分析的檔案類別,以及您是否想要 NSX-T 將檔案傳送到雲端進行詳細分析。

您可以在防火牆規則中使用預設惡意程式碼防護設定檔,也可以根據安全性原則的需求來新增設定檔。在設定檔中,您可以選取 NSX 惡意程式碼防護應擷取和分析是否存在惡意行為的檔案類別。檔案分析會在本機的 NSX 主機傳輸節點和 NSX Edge 傳輸節點上進行,這些都是已對 NSX 惡意程式碼防護啟用的節點。如果您選擇將檔案傳送到雲端,則還會在雲端進行詳細的檔案分析。

NSX-T 3.2 中,對於分散式惡意程式碼防護防火牆規則所支援的檔案類別有一些限制。如需詳細資訊,請參閱NSX 惡意程式碼防護支援的檔案類別

當您將設定檔套用至分散式惡意程式碼防護規則時,NSX 惡意程式碼防護會分析在主機傳輸節點上所攔截或擷取到的檔案。當您將設定檔套用至閘道惡意程式碼防護規則時,NSX 惡意程式碼防護會分析在 Edge 傳輸節點上所攔截或擷取到的檔案。

您可以新增多個具有不同組態的惡意程式碼防護設定檔,並在分散式惡意程式碼防護防火牆規則和閘道惡意程式碼防護防火牆規則中使用不同的設定檔。您可以在為 NSX 惡意程式碼防護啟用的每個第 1 層閘道的防火牆規則中使用不同的設定檔。例如,假設您有兩個設定檔:A 和 B。在設定檔 A 組態中,您選擇不將檔案傳送到雲端進行分析,而在設定檔 B 中,您選擇將檔案傳送到雲端進行分析。您可以將設定檔 A 用於分散式惡意程式碼防護規則,將設定檔 B 用於閘道惡意程式碼防護規則。

注意: 在為分散式惡意程式碼防護規則和閘道惡意程式碼防護規則使用不同或不一致的惡意程式碼防護設定檔組態時,或者在對 NSX 惡意程式碼防護啟用的每個第 1 層閘道上使用不同的設定檔組態時,務必要小心謹慎。使用不同的設定檔組態可能導致 NSX-T 根據攔截檔案的位置 (主機傳輸節點或 Edge 傳輸節點) 而傳回該檔案的不同判定。雲端檔案分析會執行深入內容檢查,包括沙箱處理和機器學習技術。這種深入內容檢查可以更準確地偵測惡意程式碼行為。本機檔案分析沒有足夠的資源來執行此類深入分析,因此產生的結果可能較不準確。

您一次只能將一個惡意程式碼防護設定檔附加到防火牆規則。但是,如果需要,可以將一個惡意程式碼防護設定檔同時附加到多個分散式惡意程式碼防護規則和閘道惡意程式碼防護規則。

必要條件

設定您的 NSX-T Data Center 以用於 NSX 惡意程式碼防護

如需詳細指示,請參閱為 NSX IDS/IPS 和 NSX 惡意程式碼防護準備資料中心

程序

  1. 從瀏覽器以 admin 權限登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 導覽到 安全性 > IDS/IPS 和惡意程式碼防護 > 設定檔 > 惡意程式碼防護
  3. 按一下新增設定檔
  4. 輸入設定檔的名稱。
  5. (選擇性) 輸入設定檔的說明並新增標籤。
  6. (僅針對閘道惡意程式碼防護規則):選取要納入本機檔案分析和雲端檔案分析的檔案類別。依預設,會選取所有類別。
    備註:NSX-T Data Center 3.2 中, 檔案類別選項僅適用於閘道惡意程式碼防護規則。若為分散式惡意程式碼防護規則,僅對 Windows 客體端點 (虛擬機器) 上的 Windows 可攜式執行檔 (PE) 支援惡意程式碼偵測和防護。目前對虛擬機器上的其他檔案類別不支援惡意程式碼偵測和防護。換句話說,對於分散式惡意程式碼防護規則, NSX-T 會忽略 檔案類別選項。
  7. (選擇性) 取消選取將檔案傳送至 NSX Advanced Threat Prevention 雲端服務核取方塊。
    依預設,會選取雲端檔案分析。
  8. 按一下儲存

結果

隨即儲存惡意程式碼防護設定檔,且 狀態資料行顯示 成功

下一步

根據安全性原則的需求,將此設定檔附加到閘道惡意程式碼防護規則或分散式惡意程式碼防護規則或兩者。