您必须手动打开要监控的 NSX 可疑流量检测器。激活的检测器仅用于监控可疑网络流量事件。

使用以下步骤打开支持的 NSX 可疑流量检测器,以对收集的流量数据进行网络流量分析。

过程

  1. 从浏览器中,使用所需的特权登录到 NSX Manager 设备 (https://<nsx-manager-ip-address>)。
  2. 使用以下步骤激活支持的 NSX 可疑流量检测器,以对收集的流量数据执行网络流量分析。
    请注意,以下步骤适用于所有可用的检测器,但基于 DNS 的检测器除外,必须先手动配置该检测器,然后才能使用。有关配置基于 DNS 的检测器的信息,请参见该步骤的下一步。
    1. 导航到威胁检测和响应 > 设置 > NTA 检测器定义选项卡。
    2. 找到一个或多个要激活的检测器。
    3. 单击每个检测器旁边的复选框,然后单击“激活”。
      激活的检测器在 NTA 检测器定义选项卡中显示为 已激活
  3. 要打开基于 DNS 的检测器(例如域生成算法 (Domain Generation Algorithm, DGA) 和 DNS 隧道),只需执行一次以下步骤。
    1. 创建自定义 DNS 上下文配置文件或使用系统提供的默认上下文配置文件。
      有关详细信息,请参见 上下文配置文件
    2. 创建一个分布式防火墙规则:在目标列中使用任意,并使用 DNS 上下文配置文件(如果已创建)。
      有关详细信息,请参见 添加分布式防火墙
    3. 导航到威胁检测和响应 > 设置 > NTA 检测器定义选项卡。
    4. 找到要激活的检测器。
    5. 单击检测器旁边的复选框,然后单击激活
      激活的检测器的“状态”列显示 已激活状态。
  4. (可选) 使用以下步骤停用支持的 NSX 可疑流量检测器,以停止网络流量分析。
    1. 导航到威胁检测和响应 > 设置 > NTA 检测器定义选项卡。
    2. 找到一个或多个要停用的检测器。
    3. 单击每个检测器旁边的复选框,然后单击停用
      停用的检测器的“状态”列显示 已停用状态。

结果

“状态”列显示已激活已停用状态。

下一步做什么

监控和分析检测到的可疑流量事件。