如果满足特定条件，NSX Network Detection and Response 会对检测进行汇总。

检测事件并不对应于在特定时间点检测到的恶意活动的单个实例。取而代之的是，它会汇总长达 24 小时内影响同一工作负载的类似活动。当 NSX Network Detection and Response 处理管道收到新的检测数据时，会将这些数据与现有检测事件进行比较，以确定新的检测事件是否可与现有检测事件汇总在一起。如果可以，则会将其添加到现有检测事件中。否则，将会创建新的检测事件。换言之，当满足特定条件时，便可进行检测汇总。

必须满足以下条件，才会考虑将检测汇总为单个检测事件：

• 全部检测事件的持续时间不超过 24 小时。
• 影响的是同一工作负载：
  • 同一虚拟机 UUID（如果有）
  • 同一 IP 地址（如果有）
• 事件类型相同。

• 以相同方式检测相同类型的活动。

  例如，对于 IDS 检测，这意味着必须匹配相同的特征码。