Die Detektoren für NSX Suspicious Traffic, die Sie überwachen möchten, müssen Sie manuell einschalten. Nur die aktivierten Detektoren werden für die Überwachung verdächtiger Netzwerkdatenverkehrsereignisse verwendet.

Verwenden Sie die folgenden Schritte, um einen unterstützten NSX Suspicious Traffic-Detektor einzuschalten, damit er eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchführt.

Prozedur

  1. Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
  2. Aktivieren Sie mit folgenden Schritten den unterstützten NSX Suspicious Traffic-Detektor, um eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchzuführen.
    Beachten Sie, dass die folgenden Schritte für alle verfügbaren Detektoren gelten, außer für die DNS-basierten Detektoren, die manuell konfiguriert werden müssen, bevor sie verwendet werden können. Informationen zur Konfiguration von DNS-basierten Detektoren finden Sie im nachfolgenden Schritt.
    1. Navigieren Sie zur Registerkarte Threat Detection and Response > Einstellungen > NTA-Detektordefinitionen.
    2. Suchen Sie den oder die Detektoren, die Sie aktivieren möchten.
    3. Aktivieren Sie das Kontrollkästchen neben dem jeweiligen Detektor und klicken Sie auf „Aktivieren“.
      Die aktivierten Detektoren werden auf der Registerkarte NTA-Detektordefinitionen als Aktiviert angezeigt.
  3. Um DNS-basierte Detektoren wie „Algorithmen zur Domänengenerierung“ (Domain Generation Algorithm, DGA) und „DNS-Tunneling“ zu aktivieren, führen Sie die folgenden Schritte nur einmal aus.
    1. Erstellen Sie ein benutzerdefiniertes DNS-Kontextprofil oder verwenden Sie ein vom System bereitgestelltes Standardkontextprofil.
      Einzelheiten dazu finden Sie unter Kontextprofile.
    2. Erstellen Sie eine Regel für die verteilte Firewall, indem Sie ANY in den Spalten Quellen und Ziele verwenden und das DNS-Kontextprofil nutzen, falls Sie eines erstellt haben.
      Einzelheiten dazu finden Sie unter Hinzufügen einer verteilten Firewall.
    3. Navigieren Sie zur Registerkarte Threat Detection and Response > Einstellungen > NTA-Detektordefinitionen.
    4. Suchen Sie den Detektor, den Sie aktivieren möchten.
    5. Aktivieren Sie das Kontrollkästchen neben dem Detektor und klicken Sie auf Aktivieren.
      In der Spalte „Status“ wird für die aktivierten Detektoren der Status Aktiviert angezeigt.
  4. (Optional) Führen Sie zum Deaktivieren des unterstützten NSX Suspicious Traffic-Detektors folgende Schritte aus, um die Analyse des Netzwerkdatenverkehrs zu beenden.
    1. Navigieren Sie zur Registerkarte Threat Detection and Response > Einstellungen > NTA-Detektordefinitionen.
    2. Suchen Sie den oder die Detektoren, die Sie deaktivieren möchten.
    3. Aktivieren Sie das Kontrollkästchen neben dem jeweiligen Detektor und klicken Sie auf Deaktivieren.
      In der Spalte „Status“ wird für die deaktivierten Detektoren der Status Deaktiviert angezeigt.

Ergebnisse

In der Spalte „Status“ wird der Status Aktiviert oder Deaktiviert angezeigt.

Nächste Maßnahme

Überwachen und analysieren Sie die erkannten verdächtigen Datenverkehrsereignisse.