NSX Network Detection and Response aggregiert Erkennungen, wenn diese bestimmte Bedingungen erfüllen.
Ein Erkennungsereignis entspricht nicht einer einzelnen Instanz böswilliger Aktivitäten, die zu einem bestimmten Zeitpunkt erkannt wurden. Stattdessen werden ähnliche Aktivitäten für dieselbe Arbeitslast innerhalb eines Zeitraums von bis zu 24 Stunden aggregiert. Wenn neue Erkennungsdaten von der NSX Network Detection and Response-Verarbeitungspipeline empfangen werden, werden die Daten mit vorhandenen Erkennungsereignissen verglichen, um zu ermitteln, ob eine Aggregation mit einem vorhandenen Erkennungsereignis möglich ist. Ist dies der Fall, wird die Erkennung zu diesem vorhandenen Erkennungsereignis hinzugefügt. Andernfalls wird ein neues Erkennungsereignis erstellt. Diese Aggregation kann auftreten, wenn bestimmte Bedingungen erfüllt sind.
Damit Erkennungen für die Zusammenfassung zu einem einzelnen Erkennungsereignis in Betracht kommen, müssen folgende Bedingungen erfüllt sein:
- Das Erkennungsereignis dauert insgesamt nicht länger als 24 Stunden.
- Dieselbe Arbeitslast ist betroffen:
- Gleiche VM-UUID (sofern vorhanden)
- Gleiche IP-Adresse (sofern vorhanden)
- Der Ereignistyp ist identisch.
-
Derselbe Aktivitätstyp wurde auf dieselbe Weise erkannt.
Für IDS-Erkennungen bedeutet dies beispielsweise, dass die Signatur übereinstimmen muss.