Ziel der NSX Suspicious Traffic-Funktion in der NSX Intelligence-Anwendung ist es, verdächtige oder anomale Verhaltensweisen des Netzwerkdatenverkehrs in Ihrer NSX-Umgebung zu erkennen.
Funktionsweise
Nachdem Sie die Voraussetzungen erfüllt haben, kann die NSX Suspicious Traffic-Funktion mit der Erstellung von Netzwerkbedrohungsanalysen des Ost-West-Datenverkehrsflusses beginnen, die NSX Intelligence von Ihren berechtigten NSX-Workloads (Hosts oder Cluster von Hosts) erfasst hat. NSX Intelligence speichert die erfassten Daten und persistiert diese Daten 30 Tage lang. Die NSX Suspicious Traffic-Engine analysiert die Daten und kennzeichnet verdächtige Aktivitäten mithilfe der unterstützten Detektoren. Sie können die Informationen zu den erkannten Bedrohungsereignissen auf der Registerkarte Ereignisse auf der Seite der NSX Suspicious Traffic-Benutzeroberfläche anzeigen.
Wenn diese Option aktiviert ist, sendet die NSX Network Detection and Response-Anwendung zur tieferen Analyse die verdächtigen Datenverkehrsereignisse an den VMware NSX® Advanced Threat Prevention-Cloud-Dienst. Wenn der NSX Advanced Threat Prevention-Dienst feststellt, dass bestimmte verdächtige Datenverkehrsereignisse miteinander in Zusammenhang stehen, ordnet er diese verdächtigen Datenverkehrsereignisse einer Aktivität zu. Der Dienst organisiert dann die Ereignisse in dieser Aktion in einer Zeitachse und visualisiert sie auf der NSX Network Detection and Response-Benutzeroberfläche. Alle Bedrohungsereignisse werden über die NSX Network Detection and Response-Benutzeroberfläche visualisiert. Die einzelnen Bedrohungsereignisse und -aktivitäten können von Ihrem Netzwerksicherheitsteam weiter untersucht werden. Der NSX Advanced Threat Prevention-Cloud-Dienst ruft in regelmäßigen Abständen Updates zu den zuvor erkannten Bedrohungen ab und aktualisiert bei Bedarf die Bildschirme der Visualisierungsoberfläche.
Unterstützte Detektoren
Die folgende Tabelle listet die unterstützten Detektoren auf, die die NSX Suspicious Traffic-Funktion verwendet, um den erkannten verdächtigen Netzwerkdatenverkehr zu klassifizieren. Die von diesen Detektoren generierten Erkennungen sind möglicherweise mit bestimmten Techniken oder Taktiken im MITRE ATT&CK® Framework verknüpft.
Diese Detektoren sind standardmäßig ausgeschaltet, und Sie müssen jeden Detektor, den Sie in Ihrer NSX-Umgebung verwenden möchten, explizit einschalten. Unter NSX Suspicious Traffic-Detektoren aktivieren finden Sie weitere Informationen zu den Voraussetzungen und zum Einschalten der Detektoren.
Sie können die Ausschlusslisten und den Wahrscheinlichkeitswert für einige der Definitionen dieser unterstützten Detektoren mithilfe der Registerkarte Detector-Definitionen verwalten. Weitere Informationen finden Sie unter Verwalten der NSX Suspicious Traffic Detector-Definitionen.
Detektor-Name |
Beschreibung |
|---|---|
Daten-Upload/Download |
Erkennen Sie ungewöhnlich große Datenübertragungen (Uploads/Downloads) für einen Host. |
Ziel-IP-Profiler |
Erkennen von Versuchen interner Geräte, ungewöhnliche Verbindungen zu anderen internen Hosts herzustellen. |
DNS-Tunneling |
Erkennen von Versuchen eines internen Geräts, verdeckt mit einem externen Server zu kommunizieren, indem es den DNS-Verkehr missbraucht. |
Algorithmen zur Domänengenerierung (Domain Generation Algorithm, DGA) |
Erkennen von Anomalien in den von einem internen Host durchgeführten DNS-Lookups, die durch DGA-Malware verursacht werden können. |
Horizontale Portprüfung |
Erkennen, wenn ein Eindringling versucht, einen oder mehrere Ports oder Dienste über mehrere Systeme hinweg zu scannen (Sweeping). |
LLMNR/NBT-NS Poisoning and Relay |
Erkennen, wenn eine VM ein ungewöhnliches Antwortmuster auf LLMNR/NBT-NS-Anforderungen zeigt. |
NetFlow-Signalprüfung |
Erkennen von Signalprüfungsverhalten eines internen Hosts. |
Auslassung von Netzwerkdatenverkehr |
Erkennen, wenn ungewöhnlich viel Datenverkehr durch eine verteilte Firewallregel unterbrochen wird. |
Port-Profiler |
Erkennen, wenn ein interner Clienthost auf einem ungewöhnlichen Port mit einem externen Host kommuniziert. |
Port-Profiler des Servers |
Erkennen, wenn ein interner Host mit einem anderen internen Host auf einem ungewöhnlichen Port verbunden ist. |
Remotedienste |
Erkennen verdächtiger Verhaltensweisen für Remoteverbindungen wie Telnet, SSH und VNC. |
Ungewöhnlicher Port verwendet |
Erkennen von L7-Anwendungs-ID-Datenverkehr, der nicht mit dem standardmäßig zugewiesenen Port/Protokoll übereinstimmt. Beispielsweise wird SSH-Datenverkehr über einen nicht standardmäßigen Port anstelle des Standard-Ports 22 ausgeführt. |
Ungewöhnliches Muster des Netzwerkdatenverkehrs |
Erkennen Sie Anomalien im Zeitreihenprofil eines Hosts. |
Vertikale Portprüfung |
Erkennen, wenn ein Eindringling versucht, mehrere offene Ports oder Dienste eines einzelnen Systems anzugreifen (Scanning). |
