Auf der Registerkarte Detector-Definitionen auf der Seite Verdächtiger Datenverkehr werden alle Detectors angezeigt, die derzeit von der NSX Suspicious Traffic-Funktion in NSX Intelligence unterstützt werden.

Ein Detector ist standardmäßig deaktiviert. Sie müssen jeden Detector manuell aktivieren, bevor er mit der Überwachung der Netzwerkdatenverkehrsflüsse in Ihrer NSX-Umgebung beginnen kann. Weitere Informationen finden Sie unter NSX Suspicious Traffic-Detektoren aktivieren.

Jeder NSX Suspicious Traffic-Detector, der auf der Registerkarte Detector-Definitionen aufgeführt ist, enthält in der Regel Folgendes.

  • Detector-Name und -Beschreibung

  • Umschaltoption zum Ein-/Ausschalten

  • Schieberegler „Wahrscheinlichkeit (Empfindlichkeit)“

    Mit dem Schieberegler können Sie die Wahrscheinlichkeit festlegen, mit der ein Detector eine Warnung generiert. Für eine Erkennung, die unter den Schwellenwert der Wahrscheinlichkeit fällt, verwirft das System das verdächtige Datenverkehrsereignis. Dieser Schieberegler ist nicht für alle Detectors enthalten.

  • Ausschlüsse.

    Ein VM-Ausschluss ist eine statische Liste von VMs, die die NSX Suspicious Traffic-Funktion von der Überwachung durch den Detector ausschließt. Ob ein Mitglied vom Detector ausgeschlossen wird, hängt bei einem Gruppenausschluss davon ab, wann das System den Detector ausführt. Wenn die Gruppe zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, generiert das System möglicherweise eine Warnung in den Systemprotokollen. Wenn die VM zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, ignoriert der Detector im Hintergrund die Ausschlusseinstellung. Gruppenausschluss wird nicht von allen NSX Suspicious Traffic-Detectors unterstützt.

Ändern einiger Eigenschaftswerte einer Detector-Definition

Um einige der Standard-Eigenschaftswerte für ausgewählte NSX Suspicious Traffic-Detector-Definitionen zu ändern, verwenden Sie die Registerkarte Detector-Definitionen.

Die folgende Abbildung zeigt ein Beispiel für eine Detector-Definition, die sich im Bearbeitungsmodus befindet.
Screenshot der Definitionskarte des Detectors „Horizontale Portprüfung“ im Bearbeitungsmodus.

Voraussetzungen

  • NSX Intelligence 3.2 oder höher muss aktiviert sein.
  • Sie müssen bei NSX Manager mit einer der folgenden NSX-Rollen angemeldet sein.
    • Unternehmensadministrator
    • Sicherheitsadministrator

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
  2. Navigieren Sie zur Registerkarte Sicherheit > Verdächtiger Datenverkehr > Detector-Definitionen.
  3. Suchen Sie nach dem Detector, dessen Definition Sie ändern möchten, und klicken Sie auf Bearbeiten (Bleistiftsymbol).
  4. Um den Detector ein- oder auszuschalten, klicken Sie auf die Umschaltfläche.
  5. Wenn ein Schieberegler in der Definition enthalten ist, bewegen Sie den Schieberegler auf den gewünschten Wert, den der Detector zum Identifizieren eines verdächtigen Datenverkehrsereignisses verwendet.

    Wenn Sie den Schieberegler auf einen kleineren Wert setzen, ist es wahrscheinlicher, dass dieser ein verdächtiges Datenverkehrsereignis identifiziert.

  6. Definieren Sie die Ausschlussliste.
    1. Klicken Sie auf Filter anwenden und wählen Sie im Dropdown-Menü Gruppen oder VMs für die Quelle aus. Bei einigen Detectors sind nur VMs zur Auswahl verfügbar.
    2. "Definieren Sie Ihre Ausschlussliste, indem Sie aus der Liste der verfügbaren Gruppen oder VMs auswählen."
    3. Klicken Sie auf Übernehmen.
  7. Klicken Sie auf Speichern.