Ansichten:
Konfigurieren Sie das Intrusion-Prevention-Modul (IDS/IPS), um sein Verhalten für eine Richtlinie festzulegen.
Beim Entwerfen des Modulverhaltens und der Implementierung mit der API verwenden Sie die Hintergrundinformationen und Anleitungen, die in Über Eindringungsschutz bereitgestellt werden.
Richtlinienobjekte enthalten zwei Objekte, die Sie zur Konfiguration des Intrusion-Prevention-Moduls verwenden:
  • IntrusionPreventionPolicyExtension: Steuert den Modulstatus (verhindern, erkennen oder aus), identifiziert die angewendeten Regeln zum Eindringschutz und identifiziert Anwendungstypen, die dem Modul zugewiesen sind.
  • PolicySettings: Richtlinieneinstellungen umfassen viele einbruchspräventionsbezogene Einstellungen, die das Laufzeitverhalten des Moduls steuern, wie die Anwendung von Empfehlungsdurchsuchungen, Einstellungen der Netzwerk-Engine und die Verwendung von NSX-Sicherheitstags.
Nachdem Sie diese Objekte erstellt und einem Policy-Objekt hinzugefügt haben, verwenden Sie die PoliciesApi-Klasse, um eine bestehende Richtlinie basierend auf dem Policy-Objekt zu ändern.
Der folgende JSON stellt die Datenstruktur von an IntrusionPreventionPolicyExtension object dar:
{
    "state": "prevent",
    "moduleStatus": {...},
    "ruleIDs": [...],
    "applicationTypeIDs": [...]
}
Die moduleStatus-Eigenschaft ist schreibgeschützt. Sie liefert den Laufzeitstatus des Intrusion-Prevention-Moduls. (Siehe Bericht über den Computerstatus.)

Allgemeine Schritte Übergeordnetes Thema

Verwenden Sie die folgenden Schritte, um das Intrusion-Prevention-Modul zu konfigurieren:

Prozedur

  1. Erstellen Sie ein IntrusionPreventionPolicyExtension-Objekt und konfigurieren Sie die Eigenschaften.
  2. Erstellen Sie ein PolicySettings-Objekt, um die Laufzeiteinstellungen des Moduls zu konfigurieren.
  3. Erstellen Sie ein Richtlinienobjekt und fügen Sie die IntrusionPreventionPolicyExtension und PolicySettings-Objekte hinzu.
  4. Verwenden Sie ein PoliciesApi-Objekt, um die Richtlinie auf Server- und Workload Protection hinzuzufügen oder zu aktualisieren.

Nächste Schritte

Tipp
Tipp
Wenn Sie nur eine einzelne Einstellung der Eindringungsschutzrichtlinie festlegen müssen, siehe Eine einzelne Richtlinie oder Standardrichtlinieneinstellung konfigurieren.
Erstellen Sie ein IntrusionPreventionPolicyExtension-Objekt, um den Modulstatus festzulegen und Regeln zuzuweisen:
ip_policy_extension = api.IntrusionPreventionPolicyExtension()
ip_policy_extension.state = "prevent"
ip_policy_extension.rule_ids = rule_ids
Erstellen Sie ein PolicySettings-Objekt, um Einstellungen im Zusammenhang mit dem Eindringschutz zu konfigurieren. (Für detaillierte Informationen zu Richtlinieneinstellungen siehe Konfigurieren einer einzelnen Richtlinie oder Standardrichtlinieneinstellung.) Zum Beispiel können Sie automatisch Regeln zum Eindringschutz anwenden, die über Empfehlungsscans gefunden werden:
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "yes"
policy_settings.intrusion_prevention_setting_auto_apply_recommendations_enabled = setting_value
An diesem Punkt sind die Erweiterung der Intrusion-Prevention-Richtlinie und die Richtlinieneinstellungen konfiguriert. Als Nächstes werden sie zu einem Policy-Objekt hinzugefügt. Verwenden Sie dann ein PoliciesApi-Objekt, um eine Richtlinie auf Server- und Workload Protection zu ändern.
policy = api.Policy()
policy.IntrusionPrevention = ip_policy_extension
policy.policy_settings = policy_settings

policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)
Tipp
Tipp
Der policy_id (oder policyID) Parameter von modifyPolicy identifiziert die tatsächliche Richtlinie auf Server- und Workload Protection, die geändert werden soll. Diese Richtlinie wird gemäß dem Richtlinienobjekt geändert, das als policy Parameter verwendet wird. Alle Eigenschaften des policy Parameters, die nicht festgelegt sind, bleiben in der tatsächlichen Richtlinie unverändert.

Beispiel Übergeordnetes Thema

Der folgende Beispielcode erstellt ein PolicySettings-Objekt und legt den Modulstatus fest, weist Regeln zu und setzt den Wert der intrusionPreventionSettingAutoApplyRecommendationsEnables-Eigenschaft, um die Eindringungsprävention dazu zu veranlassen, automatisch Regeln anzuwenden, die über Empfehlungsscans gefunden wurden. Das Objekt wird einem Policy-Objekt hinzugefügt, das zur Änderung einer Richtlinie verwendet wird.
Quelle
# Run in prevent mode
ip_policy_extension = api.IntrusionPreventionPolicyExtension()
ip_policy_extension.state = "prevent"

# Assign rules
ip_policy_extension.rule_ids = rule_ids

# Add to a policy
policy = api.Policy()
policy.IntrusionPrevention = ip_policy_extension

# Configure the setting
policy_settings = api.PolicySettings()
setting_value = api.SettingValue()
setting_value.value = "yes"
policy_settings.intrusion_prevention_setting_auto_apply_recommendations_enabled = setting_value

# Add the setting to a policy
policy.policy_settings = policy_settings

# Modify the policy on Server- und Workload Protection
policies_api = api.PoliciesApi(api.ApiClient(configuration))
modified_policy = policies_api.modify_policy(policy_id, policy, api_version)

return modified_policy.id
Siehe auch die Ändern einer Richtlinie-Operation im API-Referenz.
Wenn Sie nur Regeln zum Eindringschutz für eine Richtlinie hinzufügen, entfernen oder auflisten müssen, verwenden Sie die PolicyIntrusionPreventionRuleAssignmentsApi-Klasse. Im vorherigen Beispiel werden die IntrusionPreventionPolicyExtension-, Policy- und PoliciesApi-Klassen verwendet, um Regeln zum Eindringschutz hinzuzufügen, aber dies kann auch nur mit der PolicyIntrusionPreventionRuleAssignmentsApi-Klasse erfolgen. Weitere Informationen finden Sie unter Zuordnungen und Empfehlungen für Richtlinien zum Eindringschutz im API-Referenzhandbuch.
Weitere Informationen zur Authentifizierung von API-Aufrufen finden Sie unter Authentifizieren mit Server- und Workload Protection.

Erstellen Sie eine Eindringschutzregel Übergeordnetes Thema

Im Allgemeinen führen Sie die folgenden Schritte aus, um eine Regel für das Modul zur Eindringungserkennung zu erstellen:

Prozedur

  1. Erstellen Sie ein IntrusionPreventionRule-Objekt.
  2. Legen Sie die Eigenschaften der Regel fest. Die Eigenschaften werden in Regeln zum Eindringschutz konfigurieren beschrieben.
  3. Verwenden Sie ein IntrusionPreventionRulesApi-Objekt, um die Regel zu Server- und Workload Protection hinzuzufügen.

Nächste Schritte

Hinweis
Hinweis
Obwohl Protokollinspektionsregeln andere Eigenschaften als Regeln zum Eindringschutz haben, ist die Art und Weise, wie Sie die Regeln erstellen, ähnlich. Das Beispiel Erstellen einer grundlegenden Protokollinspektionsregel könnte hilfreich sein.
Tipp
Tipp
Konfigurationsoptionen der Regeln zum Eindringschutz sind über die API nicht zugänglich. Um diese Optionen zu ändern, öffnen Sie in der Server- und Workload Protection-Konsole die Eigenschaften der Regel und klicken Sie auf die Registerkarte Konfiguration.