Der NSX Network Detection and Response-Dienst empfängt die Netzwerkdatenverkehrsdaten, die von der verteilten Firewall auf den eigenständigen Hosts und Hostclustern gesendet werden. Bei Bedarf können Sie optional die Datenerfassung von einem eigenständigen Host oder Hostcluster beenden. Netzwerkdaten von diesen Hosts oder Clustern werden nicht mehr verarbeitet, um verdächtige Netzwerkdatenverkehrsereignisse zu erkennen.

Voraussetzungen

  • Sie müssen über eine Rolle als Enterprise-Administrator verfügen, damit Sie die Datenerfassungseinstellungen verwalten können.
  • Die NSX Network Detection and Response-Funktion muss auf der NSX Application Platform aktiviert werden.

Prozedur

  1. Melden Sie sich über Ihren Browser mit Unternehmensadministratorrechten bei einer NSX Manager-Appliance unter https://<nsx-manager-ip-address> an.
  2. Wählen Sie auf der NSX Manager-Benutzeroberfläche Threat Detection and Response > Einstellungen > Datenerfassung aus.
  3. Führen Sie einen der folgenden Schritte aus, um die Datenaufnahme oder die Datenaufbewahrung auf allen eigenständigen Hosts und Hostclustern zu konfigurieren.
    • Flow-Erfassung anhalten, bis Speicher verfügbar ist
      Hält den Datenaufnahmefluss vorübergehend an, wenn die Festplatte für Analyse- und Datenspeicher die Kapazitätsgrenze erreicht. Wenn die Festplattennutzung einen Schwellenwert überschreitet, wird der Datenaufnahmefluss für alle Cluster und eigenständigen Hosts angehalten.

      Der Schwellenwert wird durch die durchschnittliche tägliche Nutzung ermittelt, die anhand der aktuellen Festplattennutzung geteilt durch die Anzahl der Tage der Daten im Speicher berechnet wird. Die prognostizierte Nutzung basiert auf der tatsächlichen Nutzung. Sobald die prognostizierte Nutzung unter den Schwellenwert fällt, wird der Datenaufnahmefluss fortgesetzt.

      Die Fortsetzung des Datenaufnahmeflusses kann auf zwei Wegen erreicht werden.
      • Führen Sie eine horizontale Skalierung durch, um das Datenspeichervolumen und den Schwellenwert zu erhöhen.
      • Aktivieren Sie die Option Aufbewahrung von Flow-Daten dynamisch reduzieren, um den Datenaufbewahrungszeitraum und die Datengröße zu reduzieren.

      Weitere Informationen finden Sie unter „Horizontales Skalieren der NSX Application Platform“ im Handbuch Bereitstellung und Verwaltung von VMware NSX Application Platform.

    • Aufbewahrung von Flow-Daten dynamisch reduzieren
      Durch das Verkürzen der Aufbewahrungszeit der Flow-Daten verringert sich die Anzahl der Tage, die die Daten in der Datenbank gespeichert werden. Diese Option entfernt alte Daten und spart Speicherplatz. Die Datenaufbewahrung wird anhand von zwei Schlüsselfaktoren berechnet: der Größe der Daten und der durchschnittlichen Datenmenge, die pro Tag empfangen wird.

      Zur Veranschaulichung finden Sie hier einige Szenarien für die Datenaufbewahrung:

      • Szenario 1: Für die Datenaufbewahrung werden 30 Tage konfiguriert. Nach dem 15. Tag ist die Festplatte voll. Die Datenaufbewahrung wird auf 15 Tage festgelegt.
      • Szenario 2: Für die Datenaufbewahrung werden 30 Tage konfiguriert. In den ersten 14 Tagen werden sehr wenig Daten empfangen. Am 15. Tag kommt es dann zu einem starken Datenzufluss, der dazu führt, dass die Festplatte voll wird. Die Datenaufbewahrung wird auf 15 Tage reduziert.
      • Szenario 3: Für die Datenaufbewahrung werden 30 Tage konfiguriert. Am 2. Tag ist die Festplatte voll. Die Datenaufbewahrung wird auf 2 Tage reduziert.
    Sie können den Datenaufbewahrungszeitraum und die Anzahl der vorhandenen Flows anzeigen.
    • Wählen Sie System > NSX Application Platform > Metriken aus und blättern Sie zu Druid – durchschnittliche Aufbewahrung in Tagen.
    • Wählen Sie System > NSX Application Platform > Metriken aus und blättern Sie zu Gesamtzahl der Flows und eindeutige Flows.
  4. Führen Sie einen der folgenden Schritte aus, um die Datenerfassung für einen oder mehrere Hosts zu verwalten.
    1. Um die Datenerfassung für den Datenverkehr zu beenden, wählen Sie den oder die Hosts im Abschnitt Eigenständiger Host aus, klicken Sie auf Deaktivieren und dann zum Bestätigen auf Bestätigen.
    2. Um die Datenerfassung für den Datenverkehr zu starten, wählen Sie den oder die Hosts aus, klicken Sie auf Aktivieren und dann zum Bestätigen auf Bestätigen.

    Abhängig vom festgelegten Datenerfassungsmodus aktualisiert das System den Wert Erfassungsstatus für jeden betroffenen Host auf Deaktiviert oder Aktiviert.

  5. Führen Sie einen der folgenden Schritte aus, um die Datenerfassung für einen Host oder einen Hostcluster zu verwalten.
    1. Um die Datenerfassung für einen oder mehrere Cluster zu beenden, wählen Sie den oder die Cluster im Abschnitt Cluster aus, klicken Sie auf Deaktivieren und dann zum Bestätigen auf Bestätigen, wenn Sie dazu aufgefordert werden.
    2. Um die Datenerfassung für den Datenverkehr zu starten, wählen Sie den oder die Cluster aus, klicken Sie auf Aktivieren und dann zum Bestätigen auf Bestätigen, wenn Sie dazu aufgefordert werden.

Ergebnisse

Abhängig vom festgelegten Datenerfassungsmodus aktualisiert das System den Wert Erfassungsstatus für jeden betroffenen Cluster auf Deaktiviert oder Aktiviert.