您可以建立 NSX IDS/IPS 設定檔將特徵碼分組,然後這些特徵碼可以套用至所選取的應用程式。

預設的 IDS 設定檔包含重大嚴重性,因此無法編輯。

NSX 4.1.2 開始,您還可以為針對分散式 IDS/IPS 觸發的事件擷取 PCAP (封包擷取) 檔案。您可以為您建立的任何設定檔啟用此功能。啟用封包擷取功能後,主機會擷取 PCAP 檔,可以後續匯出至 NSX Manager 也可以從中進行下載。

PCAP 檔案的大小上限為 64 KB。在大型 NSX Manager 上,最多可以保存 50 萬個 PCAP 檔案,保存時間為 14 天。

程序

  1. 導覽至安全性 > IDS/IPS 和惡意程式碼防護 > 設定檔
  2. 按一下新增設定檔
  3. 輸入此設定檔的名稱。
  4. (選擇性) 輸入設定檔的說明並新增標籤。
  5. 選取您要納入此設定檔中的入侵嚴重性
  6. (選擇性) 攻擊類型CVSS攻擊目標受影響的產品篩選要納入設定檔中的特徵碼。
  7. 若要為設定檔啟用封包擷取功能,請開啟封包擷取切換,並設定 PCAP 檔案的大小上限和可擷取的封包數目上限。
  8. 若要變更針對特定特徵碼的動作,請按一下管理此設定檔的特徵碼,然後在動作資料行中選取適當的動作。
  9. (選擇性) 若要僅檢視使用者修改的特徵碼,請按一下僅顯示使用者修改的特徵碼切換按鈕。
  10. 按一下儲存以建立設定檔。

下一步

建立 IDS 規則。