Bevor Bedrohungen oder verdächtige Netzwerkdatenverkehrsdaten in Ihrer NSX-Umgebung erkannt werden können, müssen Sie die von NSX Intelligence zu verwendenden NSX Suspicious Traffic-Detectors manuell einschalten. Nur die aktivierten Detektoren werden für die Überwachung verdächtiger Netzwerkdatenverkehrsereignisse verwendet.

Voraussetzungen

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
  2. Verwenden Sie die folgenden Schritte, um einen unterstützten NSX Suspicious Traffic-Detektor einzuschalten, um eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchzuführen.

    Beachten Sie, dass die folgenden Schritte für alle verfügbaren Detektoren gelten, außer für die DNS-basierten Detektoren, die manuell konfiguriert werden müssen, bevor sie verwendet werden können. Informationen zur Konfiguration von DNS-basierten Detektoren finden Sie im nachfolgenden Schritt.

    1. Navigieren Sie zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
    2. Suchen Sie nach dem Detektor, den Sie aktivieren möchten, und klicken Sie auf Bearbeiten (Stiftsymbol).
    3. Suchen Sie den Umschalter ganz rechts in der erweiterten Reihe und klicken Sie auf den Umschalter, um den Detektor einzuschalten, wie in der folgenden Abbildung dargestellt.

      Screenshot der Registerkarte „Detector-Definitionen“ in der Benutzeroberfläche „Verdächtiger Datenverkehr“.

    4. Klicken Sie auf Speichern.
  3. Um DNS-basierte Detektoren wie „Algorithmen zur Domänengenerierung“ (Domain Generation Algorithm, DGA) und „DNS-Tunneling“ zu aktivieren, führen Sie die folgenden Schritte nur einmal aus.
    1. Erstellen Sie ein benutzerdefiniertes DNS-Kontextprofil oder verwenden Sie ein vom System bereitgestelltes Standardkontextprofil.

      Weitere Informationen zum Hinzufügen eines Kontextprofils finden Sie im Administratorhandbuch für NSX der VMware NSX-Dokumentation für NSX-Version 3.2 oder höher.

    2. Erstellen Sie eine Regel für die verteilte Firewall, indem Sie ANY in den Spalten Quellen und Ziele verwenden und das DNS-Kontextprofil nutzen, falls Sie eines erstellt haben.

      Weitere Informationen zum Hinzufügen einer Regel für verteilte Firewalls finden Sie im Administratorhandbuch für NSX der VMware NSX-Dokumentation für NSX-Version 3.2 oder höher.

    3. Navigieren Sie zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
    4. Suchen Sie den DNS-basierten Detektor, den Sie aktivieren möchten, und klicken Sie auf Bearbeiten (Bleistiftsymbol).
    5. Suchen Sie ganz rechts in der erweiterten Zeile den Umschalter für diesen DNS-basierten Detektor. Um den Detektor einzuschalten, klicken Sie auf den Umschalter.
    6. Klicken Sie auf Speichern.

Ergebnisse

Die Umschalter für die aktivierten Detektoren werden auf der Registerkarte Detektordefinitionen als Ein angezeigt.

Nächste Maßnahme

Verwalten Sie die erkannten verdächtigen Datenverkehrsereignisse. Weitere Informationen finden Sie unter Analyse verdächtiger Datenverkehrsereignisse.