如果满足特定条件,NSX Network Detection and Response 会对检测进行汇总。

检测事件并不对应于在特定时间点检测到的恶意活动的单个实例。取而代之的是,它会汇总长达 24 小时内影响同一工作负载的类似活动。当 NSX Network Detection and Response 处理管道收到新的检测数据时,会将这些数据与现有检测事件进行比较,以确定新的检测事件是否可与现有检测事件汇总在一起。如果可以,则会将其添加到现有检测事件中。否则,将会创建新的检测事件。换言之,当满足特定条件时,便可进行检测汇总。

必须满足以下条件,才会考虑将检测汇总为单个检测事件:

  • 全部检测事件的持续时间不超过 24 小时。
  • 影响的是同一工作负载:
    • 同一虚拟机 UUID(如果有)
    • 同一 IP 地址(如果有)
  • 事件类型相同。
  • 以相同方式检测相同类型的活动。

    例如,对于 IDS 检测,这意味着必须匹配相同的特征码。