可疑流量页面中的检测器定义选项卡显示 NSX 可疑流量 功能当前支持的所有检测器。

默认情况下,将关闭检测器。您必须手动打开每个检测器,然后它才能开始监控您的 NSX-T 环境中的网络流量。请参见激活 NSX 可疑流量 检测器以了解详细信息。

检测器定义选项卡上列出的每个 NSX 可疑流量 检测器通常包含以下内容。

  • 检测器名称和描述

  • 启用/禁用切换按钮

  • 可能性(敏感性)滑块

    通过使用该滑块,您可以设置检测器生成警示的可能性。对于低于可能性阈值的检测,系统丢弃检测事件。并非所有检测器都包含该滑块。

  • 排除

    虚拟机排除是 NSX 可疑流量 功能从检测器监控中排除的虚拟机的静态列表。对于组排除,检测器是否排除成员取决于系统何时运行检测器。如果在系统运行检测器时组不存在,系统可能会在系统日志中生成警告。如果在系统运行检测器时虚拟机不存在,检测器以静默方式忽略排除设置。并非所有 NSX 可疑流量 检测器都支持组排除。

修改检测器定义的某些属性值

要修改选定的 NSX 可疑流量 检测器定义的一些默认属性值,请使用检测器定义选项卡。

下图显示了一个处于编辑模式的示例检测器定义。
处于编辑模式的“水平端口扫描”检测器定义卡的屏幕截图。

前提条件

  • 必须激活了 NSX Intelligence 3.2 或更高版本应用程序。
  • 您必须使用以下 NSX-T 内置角色之一登录到 NSX Manager
    • 企业管理员
    • 安全管理员

过程

  1. 从浏览器中,使用所需的特权登录到 NSX Manager 设备 (https://<nsx-manager-ip-address>)。
  2. 导航到 安全 > 可疑流量 > 检测器定义 选项卡。
  3. 找到要修改定义的检测器,然后单击编辑(铅笔图标)。
  4. 要打开或关闭检测器,请单击切换按钮。
  5. 如果在定义中包含滑块,请将滑块移动到检测器用于生成检测事件的所需值。

    将滑块设置为较小的值意味着,该检测器生成检测事件的可能性较大。

  6. 定义排除列表。
    1. 单击“应用筛选器”,然后在下拉菜单中为“源”选择虚拟机
    2. 从可用的组或虚拟机列表中进行选择。
    3. 单击应用
  7. 单击保存