Sie können die Einstellungen für NTA (Network Traffic Anomaly) mit der NSX Suspicious Traffic-Funktion konfigurieren. Die NSX Suspicious Traffic-Funktion können Sie über NSX Network Detection and Response oder NSX Intelligence konfigurieren.
Auf der Registerkarte Detektordefinitionen werden auf der Seite Einstellungen alle Detektoren angezeigt, die derzeit von der NSX Suspicious Traffic-Funktion unterstützt werden.
Ein Detector ist standardmäßig deaktiviert. Sie müssen jeden Detektor manuell einschalten, damit er mit der Überwachung der Netzwerkdatenverkehrsflüsse in Ihrer NSX-Umgebung beginnen kann. Einzelheiten dazu finden Sie unter Aktivieren der Detektoren für verdächtigen Datenverkehr.
Alle NSX Suspicious Traffic-Detektoren, die auf der Registerkarte Detektordefinitionen aufgeführt sind, enthalten in der Regel das Folgende.
- Name und Beschreibung des Detektors
- Umschaltoption zum Ein-/Ausschalten
- Schieberegler „Wahrscheinlichkeit (Empfindlichkeit)“
Mit dem Schieberegler können Sie die Wahrscheinlichkeit festlegen, mit der ein Detector eine Warnung generiert. Für eine Erkennung, die unter den Schwellenwert der Wahrscheinlichkeit fällt, verwirft das System das verdächtige Datenverkehrsereignis. Dieser Schieberegler ist nicht für alle Detectors enthalten.
- Ausschlüsse.
Ein VM-Ausschluss ist eine statische Liste von VMs, die von der Funktion „Verdächtiger Datenverkehr“ von NSX von der Überwachung durch den Detektor ausgeschlossen sind. Ob ein Mitglied vom Detector ausgeschlossen wird, hängt bei einem Gruppenausschluss davon ab, wann das System den Detector ausführt. Wenn die Gruppe zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, generiert das System möglicherweise eine Warnung in den Systemprotokollen. Wenn die VM zum Zeitpunkt der Ausführung des Detectors nicht vorhanden ist, ignoriert der Detector im Hintergrund die Ausschlusseinstellung. Gruppenausschluss wird nicht von allen NSX Suspicious Traffic-Detectors unterstützt.