可疑流量页面中的检测器定义选项卡显示 NSX 可疑流量 功能当前支持的所有检测器。
默认情况下,将关闭检测器。您必须手动打开每个检测器,然后它才能开始监控您的 NSX-T 环境中的网络流量。请参见激活 NSX 可疑流量 检测器以了解详细信息。
检测器定义选项卡上列出的每个 NSX 可疑流量 检测器通常包含以下内容。
检测器名称和描述
启用/禁用切换按钮
可能性(敏感性)滑块
通过使用该滑块,您可以设置检测器生成警示的可能性。对于低于可能性阈值的检测,系统丢弃检测事件。并非所有检测器都包含该滑块。
排除
虚拟机排除是 NSX 可疑流量 功能从检测器监控中排除的虚拟机的静态列表。对于组排除,检测器是否排除成员取决于系统何时运行检测器。如果在系统运行检测器时组不存在,系统可能会在系统日志中生成警告。如果在系统运行检测器时虚拟机不存在,检测器以静默方式忽略排除设置。并非所有 NSX 可疑流量 检测器都支持组排除。
修改检测器定义的某些属性值
要修改选定的 NSX 可疑流量 检测器定义的一些默认属性值,请使用检测器定义选项卡。
下图显示了一个处于编辑模式的示例检测器定义。
前提条件
- 必须激活了 NSX Intelligence 3.2 或更高版本应用程序。
- 您必须使用以下 NSX-T 内置角色之一登录到 NSX Manager。
- 企业管理员
- 安全管理员