若要將自訂特徵碼套用於規則,請先將其新增到 IDS 設定檔中。

程序

  1. NSX Manager,移至安全性 > IDS/IPS 和 Malware Prevention (在 [原則管理] 區段下)。
  2. IDS/IPS 和 Malware Prevention 頁面上,移至設定檔索引標籤。
  3. IDS/IPS 索引標籤上,您可以選擇新增設定檔或編輯現有設定檔。請參閱新增 NSX IDS/IPS 設定檔
  4. 若要將自訂特徵碼新增到現有設定檔中,請按一下三個點,然後按一下編輯
  5. IDS 特徵碼區段中,選取自訂。這會顯示將包含在該設定檔中的特徵碼數量。
  6. 若要定義自訂特徵碼,必須在 [入侵嚴重性] 區段中包含必填的中繼資料欄位 signature_severity。此欄位必須是所有自訂特徵碼的一部分。此欄位的可能關鍵字值包括:

    • 嚴重

    • 可疑

    這些特徵碼嚴重性將顯示在 UI 中,並包含在 IDS 引擎的 SYSLOG 輸出中。

    從第三方來源匯入特徵碼集時,不同的關鍵字可能代表所針對威脅的嚴重性。例如,Emerging Threats 使用關鍵字「主要」。在驗證期間,這個關鍵字將重新對應到「高」。

  7. 按一下儲存

結果

當觸發某個規則時,您可以在監控頁面上檢視所採取行動的詳細資料。

  1. 威脅事件監控區段中,選取 IDS/IPS

  2. 檢查監控索引標籤,以瞭解是否已根據套用於 GFW 和 DFW 規則的自訂特徵碼偵測到任何入侵。