NSX Network Detection and Response 功能的主要目标是,从您的 NSX 环境中激活的每个事件源收集重要异常活动或恶意事件。
收集的事件
NSX Network Detection and Response 将所有需要进一步分析的收集事件提交到 VMware NSX® Advanced Threat Prevention 云服务以进行关联和可视化。您可以使用 NSX Network Detection and Response 用户界面 (UI) 查看和管理分析结果。
NSX Network Detection and Response 将确定相关的事件与攻击活动相关联。它可以将攻击活动中的威胁事件划分为一个时间线,安全分析师可以使用 NSX Network Detection and Response UI 查看该时间线和进行分类。
事件类型和事件源
下表列出了
NSX Network Detection and Response 可以收集的事件类型以及生成这些事件的来源。为了让任何事件源将事件发送到
NSX Network Detection and Response,您必须激活为该事件类型提到的相应
NSX 功能。
| 事件类型 | 事件源 |
|---|---|
| 恶意文件事件 | Edge 设备(如果激活了 VMware NSX® 恶意软件防护 功能)。 |
| IDS 事件 | 分布式 IDS(如果激活了 Distributed NSX IDS/IPS 功能)。 |
| 网络流量异常事件 | VMware NSX® Intelligence™(如果激活了该功能并打开 NSX 可疑流量 检测器)。 |
重要说明: 要最大限度利用
NSX Network Detection and Response 功能,请激活一个或多个
NSX 功能以使用其事件。虽然您可以单独激活
NSX Network Detection and Response 功能,但如果未激活上表中提到的任何
NSX 功能,则
NSX Network Detection and Response 没有可供分析的任何事件,因此,无法利用它提供的任何功能。
激活和使用该功能
在开始使用 NSX Network Detection and Response 功能之前,必须满足特定的许可证要求和软件要求,并且必须激活该功能。要开始使用 NSX Network Detection and Response 管理可在 NSX 环境中监控的不同事件类型,还必须激活并配置相应的 NSX 功能。
有关后续步骤的更多信息,请参见 NSX Network Detection and Response 激活和使用工作流。
激活其他NSX功能
有关如何激活和配置
NSX 功能以使
NSX Network Detection and Response 使用其检测事件的信息,请参阅下表。
| 要激活的 NSX 功能 | 文档名称和位置 | 主题标题 |
|---|---|---|
| NSX IDS/IPS | 3.2 或更高版本的NSX 管理指南。 | NSX IDS/IPS 和 NSX 恶意软件防护 入门指南 |
| NSX 恶意软件防护 | 3.2 或更高版本的NSX 管理指南。 | 激活 NSX 恶意软件防护 |
| NSX Intelligence | 随 VMware NSX Intelligence 文档集提供的 3.2 或更高版本的激活和升级 VMware NSX Intelligence。 | 激活 NSX Intelligence |
| NSX 可疑流量 | 随 VMware NSX Intelligence 文档集提供的 3.2 或更高版本的使用和管理 VMware NSX Intelligence。 | 激活 NSX 可疑流量 检测器 |
