Die Detektoren für NSX Suspicious Traffic, die Sie überwachen möchten, müssen Sie manuell einschalten. Nur die aktivierten Detektoren werden für die Überwachung verdächtiger Netzwerkdatenverkehrsereignisse verwendet.
Verwenden Sie die folgenden Schritte, um einen unterstützten NSX Suspicious Traffic-Detektor einzuschalten, damit er eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchführt.
Prozedur
- Melden Sie sich über Ihren Browser unter https://<nsx-manager-ip-address> mit den entsprechenden Rechten bei einer NSX Manager-Appliance an.
- Aktivieren Sie mit folgenden Schritten den unterstützten NSX Suspicious Traffic-Detektor, um eine Analyse des Netzwerkdatenverkehrs für die erfassten Datenverkehrsdaten durchzuführen.
Beachten Sie, dass die folgenden Schritte für alle verfügbaren Detektoren gelten, außer für die DNS-basierten Detektoren, die manuell konfiguriert werden müssen, bevor sie verwendet werden können. Informationen zur Konfiguration von DNS-basierten Detektoren finden Sie im nachfolgenden Schritt.
- Navigieren Sie zur Registerkarte .
- Suchen Sie den oder die Detektoren, die Sie aktivieren möchten.
- Aktivieren Sie das Kontrollkästchen neben dem jeweiligen Detektor und klicken Sie auf „Aktivieren“.
Die aktivierten Detektoren werden auf der Registerkarte
NTA-Detektordefinitionen als
Aktiviert angezeigt.
- Um DNS-basierte Detektoren wie „Algorithmen zur Domänengenerierung“ (Domain Generation Algorithm, DGA) und „DNS-Tunneling“ zu aktivieren, führen Sie die folgenden Schritte nur einmal aus.
- Erstellen Sie ein benutzerdefiniertes DNS-Kontextprofil oder verwenden Sie ein vom System bereitgestelltes Standardkontextprofil.
- Erstellen Sie eine Regel für die verteilte Firewall, indem Sie ANY in den Spalten Quellen und Ziele verwenden und das DNS-Kontextprofil nutzen, falls Sie eines erstellt haben.
- Navigieren Sie zur Registerkarte .
- Suchen Sie den Detektor, den Sie aktivieren möchten.
- Aktivieren Sie das Kontrollkästchen neben dem Detektor und klicken Sie auf Aktivieren.
In der Spalte „Status“ wird für die aktivierten Detektoren der Status
Aktiviert angezeigt.
- (Optional) Führen Sie zum Deaktivieren des unterstützten NSX Suspicious Traffic-Detektors folgende Schritte aus, um die Analyse des Netzwerkdatenverkehrs zu beenden.
- Navigieren Sie zur Registerkarte .
- Suchen Sie den oder die Detektoren, die Sie deaktivieren möchten.
- Aktivieren Sie das Kontrollkästchen neben dem jeweiligen Detektor und klicken Sie auf Deaktivieren.
In der Spalte „Status“ wird für die deaktivierten Detektoren der Status
Deaktiviert angezeigt.
Ergebnisse
In der Spalte „Status“ wird der Status Aktiviert oder Deaktiviert angezeigt.
Nächste Maßnahme
Überwachen und analysieren Sie die erkannten verdächtigen Datenverkehrsereignisse.