您可以使用 NSX 可疑流量功能配置网络流量异常 (NTA) 的设置。您可以从 NSX Network Detection and ResponseNSX Intelligence 配置 NSX 可疑流量功能。

注: 如果从 NSX Intelligence UI 配置 NTA 数据收集或可疑流量检测器设置, NSX Network Detection and Response 将显示该配置,反之亦然。更改某一处的设置将覆盖另一处先前的设置。

设置页面下的 NTA 检测器定义选项卡显示 NSX 可疑流量 功能当前支持的所有检测器。

默认情况下,将关闭检测器。您必须手动打开每个检测器,然后它才能开始监控您的 NSX 环境中的网络流量。有关详细信息,请参见激活可疑流量检测器

NTA 检测器定义选项卡上列出的 NSX 可疑流量检测器通常包含以下内容。

  • 检测器名称和描述
  • 打开/关闭切换按钮
  • 可能性(敏感性)滑块

    通过使用该滑块,您可以设置检测器生成警示的可能性。对于低于可能性阈值的检测,系统丢弃可疑流量事件。并非所有检测器都包含该滑块。

  • 排除

    虚拟机排除是 NSX 可疑流量功能从检测器监控中排除的虚拟机的静态列表。对于组排除,检测器是否排除成员取决于系统何时运行检测器。如果在系统运行检测器时组不存在,系统可能会在系统日志中生成警告。如果在系统运行检测器时虚拟机不存在,检测器以静默方式忽略排除设置。并非所有 NSX 可疑流量 检测器都支持组排除。