Auf der Registerkarte Detector-Definitionen auf der Seite Verdächtiger Datenverkehr werden alle Detectors angezeigt, die derzeit von der NSX Suspicious Traffic-Funktion unterstützt werden.

Ein Detector ist standardmäßig deaktiviert. Sie müssen jeden Detector manuell aktivieren, bevor er mit der Überwachung der Netzwerkdatenverkehrsflows in Ihrer NSX-T-Umgebung beginnen kann. Einzelheiten dazu finden Sie unter NSX Suspicious Traffic-Detektoren aktivieren.

Jeder NSX Suspicious Traffic-Detector, der auf der Registerkarte Detector-Definitionen aufgeführt ist, enthält in der Regel Folgendes.

  • Detector-Name und -Beschreibung

  • Umschaltfläche zum Aktivieren/Deaktivieren

  • Schieberegler „Wahrscheinlichkeit (Empfindlichkeit)“

    Mit dem Schieberegler können Sie die Wahrscheinlichkeit festlegen, mit der ein Detector eine Warnung generiert. Für eine Erkennung, die unter den Schwellenwert der Wahrscheinlichkeit fällt, verwirft das System das Erkennungsereignis. Dieser Schieberegler ist nicht für alle Detectors enthalten.

  • Ausschlüsse.

    Ein VM-Ausschluss ist eine statische Liste von VMs, die die NSX Suspicious Traffic-Funktion von der Überwachung durch den Detector ausschließt. Ob ein Mitglied vom Detector ausgeschlossen wird, hängt bei einem Gruppenausschluss davon ab, wann das System den Detector ausführt. Wenn die Gruppe zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, generiert das System möglicherweise eine Warnung in den Systemprotokollen. Wenn die VM zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, ignoriert der Detector im Hintergrund die Ausschlusseinstellung. Gruppenausschluss wird nicht von allen NSX Suspicious Traffic-Detectors unterstützt.

Ändern einiger Eigenschaftswerte einer Detector-Definition

Um einige der Standard-Eigenschaftswerte für ausgewählte NSX Suspicious Traffic-Detector-Definitionen zu ändern, verwenden Sie die Registerkarte Detector-Definitionen.

Die folgende Abbildung zeigt ein Beispiel für eine Detector-Definition, die sich im Bearbeitungsmodus befindet.
Ein Screenshot der Definitionskarte des Detectors „Horizontale Portprüfung“ im Bearbeitungsmodus. Dazu gehören der Name und die Definition des Detectors, die Schaltfläche zum Ein- und Ausschalten, die Beschreibung des Detectors, der Schieberegler, mit dem die Wahrscheinlichkeit, dass der Detector einen Alarm auslöst, bestimmt werden kann, und der Ausschluss.

Voraussetzungen

  • Die Anwendung NSX Intelligence 3.2 oder höher muss aktiviert sein.
  • Sie müssen bei NSX Manager mithilfe einer der folgenden NSX-T-Rollen angemeldet sein.
    • Unternehmens-Admin
    • Sicherheits-Admin

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
  2. Navigieren zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
  3. Suchen Sie nach dem Detector, dessen Definition Sie ändern möchten, und klicken Sie auf Bearbeiten (Bleistiftsymbol).
  4. Um den Detector ein- oder auszuschalten, klicken Sie auf die Umschaltfläche.
  5. Wenn ein Schieberegler in der Definition enthalten ist, bewegen Sie den Schieberegler auf den gewünschten Wert, den der Detector zum Generieren eines Erkennungsereignisses verwendet.

    Wenn Sie den Schieberegler auf einen kleineren Wert setzen, ist es wahrscheinlicher, dass dieser Detector ein Erkennungsereignis generiert.

  6. Definieren Sie die Ausschlussliste.
    1. Klicken Sie auf „Filter anwenden“ und wählen Sie im Dropdown-Menü Gruppen oder VMs für die Quelle aus.
    2. Treffen Sie Ihre Auswahl aus der Liste der verfügbaren Gruppen oder VMs.
    3. Klicken Sie auf Übernehmen.
  7. Klicken Sie auf Speichern.