NSX Intelligence 应用程序中的 NSX 可疑流量功能的目标是,检测 NSX 环境中的可疑或异常网络流量行为。
工作原理
在满足必备条件后,NSX 可疑流量 功能可以开始为 NSX Intelligence 收集的东西向网络流量数据生成网络威胁分析,这些数据是从符合条件的 NSX 工作负载(主机或主机集群)收集的。NSX Intelligence 存储收集的数据,并将该数据保留 30 天。NSX 可疑流量 引擎使用支持的检测器分析数据并标记可疑活动。您可以使用 NSX 可疑流量 UI 页面的事件选项卡查看有关检测到的威胁事件的信息。
如果已激活,则 NSX Network Detection and Response 应用程序向 VMware NSX® Advanced Threat Prevention 云服务发送可疑流量事件以进行更深入的分析。如果 NSX Advanced Threat Prevention 服务确定某些可疑流量事件是相关的,则将这些可疑流量事件与一个攻击活动相关联。然后,该服务将该攻击活动中的事件划分为一个时间线,并在 NSX Network Detection and Response 用户界面上可视化该时间线。所有威胁事件是使用 NSX Network Detection and Response 用户界面可视化的。您的网络安全团队可以进一步调查各个威胁事件和攻击活动。NSX Advanced Threat Prevention 云服务定期获取有关以前检测到的威胁的更新,并在需要时更新可视化 UI 屏幕。
支持的检测器
下表列出了支持的检测器,NSX 可疑流量 功能使用这些检测器对检测到的可疑网络流量进行分类。这些检测器生成的检测可能与 MITRE ATT&CK® 框架中的特定技术或策略相关联。
默认情况下,将关闭这些检测器,您必须明确打开要在您的 NSX 环境中使用的每个检测器。请参见激活 NSX 可疑流量 检测器,以了解有关任何必备条件以及如何打开检测器的更多详细信息。
您可以使用检测器定义选项卡管理这些支持的检测器的某些定义的排除列表和可能性值。请参见管理 NSX 可疑流量 检测器定义以了解详细信息。
检测器名称 |
描述 |
---|---|
数据上载/下载 |
检测主机的异常大数据传输(上载/下载)。 |
目标 IP 分析器 |
检测内部设备是否尝试对其他内部主机执行异常连接。 |
DNS 隧道 |
检测内部设备是否尝试滥用 DNS 流量以与外部服务器公开进行通信。 |
域生成算法 (DGA) |
检测内部主机执行的 DNS 查找异常情况,这可能是由 DGA 恶意软件造成的。 |
水平端口扫描 |
检测入侵者是否尝试扫描多个系统中的一个或多个端口或服务(水平扫描)。 |
LLMNR/NBT-NS 中毒和中继 |
检测虚拟机是否显示异常的 LLMNR/NBT-NS 请求响应模式。 |
Netflow 信标 |
检测来自内部主机的信标行为。 |
网络流量丢弃 |
检测分布式防火墙规则是否丢弃异常高的流量。 |
端口分析器 |
检测内部客户端主机何时在异常端口上与外部主机进行通信。 |
服务器端口分析器 |
检测内部主机何时通过异常端口连接到另一个内部主机。 |
远程服务 |
检测 Telnet、SSH 和 VNC 等远程连接的可疑行为。 |
不常用的端口 |
检测 L7 应用程序 ID 流量是否与分配的标准端口/协议不匹配。例如,SSH 流量在非标准端口上运行,而不是在标准端口 22 上运行。 |
异常的网络流量模式 |
检测主机的时间序列配置文件中的异常。 |
垂直端口扫描 |
检测入侵者是否尝试攻击单个系统的多个开放端口或服务(扫描)。 |