Bevor Bedrohungen oder verdächtige Netzwerkdatenverkehrsdaten in Ihrer NSX-T Data Center-Umgebung erkannt werden können, müssen Sie die zu verwendenden NSX Suspicious Traffic-Detektoren manuell einschalten. Nur die aktivierten Detektoren werden für die Überwachung verdächtiger Netzwerkdatenverkehrsereignisse verwendet.

Voraussetzungen

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
  2. Verwenden Sie die folgenden Schritte, um einen unterstützten NSX Suspicious Traffic-Detektor einzuschalten, um eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchzuführen.

    Beachten Sie, dass die folgenden Schritte für alle verfügbaren Detektoren gelten, außer für die DNS-basierten Detektoren, die manuell konfiguriert werden müssen, bevor sie verwendet werden können. Informationen zur Konfiguration von DNS-basierten Detektoren finden Sie im nachfolgenden Schritt.

    1. Navigieren zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
    2. Suchen Sie nach dem Detektor, den Sie aktivieren möchten, und klicken Sie auf Bearbeiten (Stiftsymbol).
    3. Suchen Sie den Umschalter ganz rechts in der erweiterten Reihe und klicken Sie auf den Umschalter, um den Detektor einzuschalten, wie in der folgenden Abbildung dargestellt.

      Screenshot der Registerkarte „Sicherheit > Verdächtiger Datenverkehr > Detektordefinitionen“, wobei die Zeile für den Ziel-IP-Profiler-Detektor aufgeklappt ist und der Mauszeiger auf den Umschalter gerichtet ist.

    4. Klicken Sie auf Speichern.
  3. Um DNS-basierte Detektoren wie „Algorithmen zur Domänengenerierung“ (Domain Generation Algorithm, DGA) und „DNS-Tunneling“ zu aktivieren, führen Sie die folgenden Schritte nur einmal aus.
    1. Erstellen Sie ein benutzerdefiniertes DNS-Kontextprofil oder verwenden Sie ein vom System bereitgestelltes Standardkontextprofil.

      Weitere Informationen zum Hinzufügen eines Kontextprofils für Version 3.2 oder höher finden Sie im Administratorhandbuch für NSX-T Data Center unter https://docs.vmware.com/de/VMware-NSX/index.html.

    2. Erstellen Sie eine Regel für die verteilte Firewall, indem Sie ANY in den Spalten Quellen und Ziele verwenden und das DNS-Kontextprofil nutzen, falls Sie eines erstellt haben.

      Weitere Informationen zum Hinzufügen einer Regel für verteilte Firewalls für Version 3.2 oder höher finden Sie im Administratorhandbuch für NSX-T Data Center unter https://docs.vmware.com/de/VMware-NSX/index.html.

    3. Navigieren zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
    4. Suchen Sie den DNS-basierten Detektor, den Sie aktivieren möchten, und klicken Sie auf Bearbeiten (Bleistiftsymbol).
    5. Suchen Sie ganz rechts in der erweiterten Zeile den Umschalter für diesen DNS-basierten Detektor. Um den Detektor einzuschalten, klicken Sie auf den Umschalter.
    6. Klicken Sie auf Speichern.

Ergebnisse

Die Umschalter für die aktivierten Detektoren werden auf der Registerkarte Detektordefinitionen als Ein angezeigt.

Nächste Maßnahme

Verwalten Sie die erkannten verdächtigen Datenverkehrsereignisse. Einzelheiten dazu finden Sie unter Analysieren der NSX Suspicious Traffic-Erkennungsereignisse.