激活 NSX 可疑流量检测器

在您的 NSX-T Data Center 环境中检测任何威胁或可疑网络流量数据之前，您必须手动打开要使用的 NSX 可疑流量检测器。激活的检测器仅用于监控可疑网络流量事件。

前提条件

确认满足 NSX 可疑流量功能的系统要求中列出的许可证要求和软件要求。
您必须使用以下 NSX-T Data Center 内置角色之一登录到 NSX Manager。有关详细信息，请参见NSX Intelligence 中的基于角色的访问控制。
- 企业管理员
- 安全管理员

过程

从浏览器中，使用所需的特权登录到 NSX Manager 设备 (https://<nsx-manager-ip-address>)。
使用以下步骤打开支持的 NSX 可疑流量检测器，以对收集的流量数据进行网络流量分析。

请注意，以下步骤适用于所有可用的检测器，但基于 DNS 的检测器除外，必须先手动配置该检测器，然后才能使用。有关配置基于 DNS 的检测器的信息，请参见该步骤的下一步。
1. 导航到安全 > 可疑流量 > 检测器定义选项卡。
2. 找到要激活的检测器，然后单击编辑（铅笔图标）。
3. 找到展开的行最右侧的切换开关，然后单击切换开关以打开检测器，如下图所示。
4. 单击保存。
要打开基于 DNS 的检测器（例如域生成算法 (Domain Generation Algorithm, DGA) 和 DNS 隧道），只需执行一次以下步骤。
1. 创建自定义 DNS 上下文配置文件或使用系统提供的默认上下文配置文件。
  
  请参见 3.2 或更高版本的《NSX-T Data Center 管理指南》中有关添加上下文配置文件的详细信息，网址为 https://docs.vmware.com/cn/VMware-NSX/index.html。
2. 创建一个分布式防火墙规则：在源和目标列中使用任意，并使用 DNS 上下文配置文件（如果已创建）。
  
  请参见 3.2 或更高版本的《NSX-T Data Center 管理指南》中有关添加分布式防火墙规则的详细信息，网址为 https://docs.vmware.com/cn/VMware-NSX/index.html。
3. 导航到安全 > 可疑流量 > 检测器定义选项卡。
4. 找到要激活的基于 DNS 的检测器，然后单击编辑（铅笔图标）。
5. 在展开的行的最右侧，找到该基于 DNS 的检测器的切换开关。要打开该检测器，请单击切换开关以切换到“开启”。
6. 单击保存。

结果

激活的检测器的切换开关在检测器定义选项卡中显示为开启。

下一步做什么

管理检测到的可疑流量事件。请参见分析 NSX 可疑流量检测事件以了解详细信息。