NSX 环境中检测任何威胁或可疑网络流量数据之前,必须手动打开您希望 NSX Intelligence 使用的 NSX 可疑流量检测器。激活的检测器仅用于监控可疑网络流量事件。

前提条件

过程

  1. 从浏览器中,使用所需的特权登录到 NSX Manager 设备 (https://<nsx-manager-ip-address>)。
  2. 使用以下步骤打开支持的 NSX 可疑流量 检测器,以对收集的流量数据进行网络流量分析。

    请注意,以下步骤适用于所有可用的检测器,但基于 DNS 的检测器除外,必须先手动配置该检测器,然后才能使用。有关配置基于 DNS 的检测器的信息,请参见该步骤的下一步。

    1. 导航到安全 > 可疑的流量 > 检测器定义选项卡。
    2. 找到要激活的检测器,然后单击编辑(铅笔图标)。
    3. 找到展开的行最右侧的切换开关,然后单击切换开关以打开检测器,如下图所示。

      “可疑的流量”UI 中的“检测器定义”选项卡的屏幕截图。

    4. 单击保存
  3. 要打开基于 DNS 的检测器(例如域生成算法 (Domain Generation Algorithm, DGA) 和 DNS 隧道),只需执行一次以下步骤。
    1. 创建自定义 DNS 上下文配置文件或使用系统提供的默认上下文配置文件。

      请参见随 NSX 3.2 或更高版本的 VMware NSX 文档集提供的NSX 管理指南中有关添加上下文配置文件的详细信息。

    2. 创建一个分布式防火墙规则:在目标列中使用任意,并使用 DNS 上下文配置文件(如果已创建)。

      请参见随 NSX 3.2 或更高版本的 VMware NSX 文档集提供的NSX 管理指南中有关添加分布式防火墙规则的详细信息。

    3. 导航到安全 > 可疑的流量 > 检测器定义选项卡。
    4. 找到要激活的基于 DNS 的检测器,然后单击编辑(铅笔图标)。
    5. 在展开的行的最右侧,找到该基于 DNS 的检测器的切换开关。要打开该检测器,请单击切换开关以切换到“开启”。
    6. 单击保存

结果

激活的检测器的切换开关在检测器定义选项卡中显示为开启

下一步做什么

管理检测到的可疑流量事件。请参见分析可疑流量事件以了解详细信息。