Das Hauptziel der NSX Network Detection and Response-Funktion besteht darin, wichtige abnormale Aktivitäten oder bösartige Ereignisse aus jeder Ereignisquelle zu erfassen, die in Ihrer NSX-T Data Center-Umgebung aktiviert ist.

Erfasste Ereignisse

NSX Network Detection and Response übermittelt alle erfassten Ereignisse, die eine weitere Analyse erfordern, zur Korrelation und Visualisierung an den VMware NSX® Advanced Threat Prevention-Clouddienst. Sie können die Analyseergebnisse über die NSX Network Detection and Response-Benutzeroberfläche anzeigen und verwalten.

NSX Network Detection and Response korreliert Ereignisse, die in Aktivitäten als in Zusammenhang stehend erkannt werden. Bedrohungsereignisse in einer Aktivität werden in einer Zeitleiste organisiert, die Sicherheitsanalysten über die NSX Network Detection and Response-Benutzeroberfläche anzeigen und einordnen können.

Ereignistypen und Ereignisquellen

Die folgende Tabelle enthält die Ereignistypen, die NSX Network Detection and Response erfassen kann, sowie die Quellen, die diese Ereignisse generieren. Damit eine der Ereignisquellen die Ereignisse an NSX Network Detection and Response senden kann, müssen Sie die entsprechende NSX-T Data Center-Funktion für den Ereignistyp aktivieren.
Ereignistyp Ereignisquelle
Schädliche Dateiereignisse Edge-Appliance, wenn Sie die VMware NSX® Malware-Schutz-Funktion aktivieren.
IDS-Ereignisse Distributed IDS, wenn Sie die Distributed NSX IDS/IPS-Funktion aktivieren.
Anomale Ereignisse im Netzwerkdatenverkehr VMware NSX® Intelligence™, sofern aktiviert, und wenn Sie die NSX Suspicious Traffic-Detektoren einschalten.
Wichtig: Um die NSX Network Detection and Response-Funktion zu maximieren, aktivieren Sie eine oder mehrere der NSX-T Data Center-Funktionen, deren Ereignisse sie verbraucht. Sie können die Funktion NSX Network Detection and Response zwar allein aktivieren, aber wenn Sie keine der in der vorherigen Tabelle genannten NSX-T Data Center-Funktionen aktivieren, kann NSX Network Detection and Response keine Ereignisse analysieren und somit auch keine der angebotenen Vorteile nutzen.

Aktivieren und Verwenden der Funktion

Bevor Sie mit der Verwendung der NSX Network Detection and Response-Funktion beginnen können, müssen Sie bestimmte Lizenz- und Softwareanforderungen erfüllen und die Funktion aktivieren. Um NSX Network Detection and Response für die Verwaltung der verschiedenen Ereignistypen zu verwenden, die Sie in Ihrer NSX-T Data Center-Umgebung überwachen können, müssen Sie auch die entsprechenden NSX-T Data Center-Funktionen aktivieren und konfigurieren.

Weitere Informationen zu den nächsten Schritten finden Sie unter NSX Network Detection and Response-Aktivierung und Verwendungsworkflow.

Aktivieren anderer NSX-Funktionen

Informationen zum Aktivieren und Konfigurieren der NSX-T Data Center-Funktionen, deren Erkennungsereignisse NSX Network Detection and Response verbraucht, finden Sie in der folgenden Tabelle.
Zu aktivierende NSX-T Data Center-Funktion Dokumentationsname und -ort Thementitel
NSX IDS/IPS Admin-Handbuch für NSX-T Data Center für Version 3.2 oder höher. Erste Schritte mit NSX IDS/IPS und NSX Malware-Schutz
NSX Malware-Schutz Admin-Handbuch für NSX-T Data Center für Version 3.2 oder höher. Aktivieren von NSX Malware-Schutz
NSX Intelligence Aktivieren und Aktualisieren von VMware NSX Intelligence für Version 3.2 oder höher, enthalten im VMware NSX Intelligence-Dokumentationssatz NSX Intelligence aktivieren
NSX Suspicious Traffic Verwenden und Verwalten von VMware NSX Intelligence für Version 3.2 oder höher, enthalten im VMware NSX Intelligence-Dokumentationssatz NSX Suspicious Traffic-Detektoren aktivieren