NSX Network Detection and Response mapea y defiende contra las técnicas ATT&ACK de MITRE Proporciona una arquitectura basada en la nube que permite a los detectores obtener una visibilidad completa del tráfico de red que cruza el perímetro de la red (norte/sur) y del tráfico que se mueve lateralmente dentro del perímetro (este/oeste).

Objetivo principal

El objetivo principal de la función NSX Network Detection and Response es recopilar actividades anómalas clave o eventos malintencionados de cada origen de evento que se active en el entorno de NSX-T Data Center. A continuación, los eventos recopilados para los que se determina que requieren análisis adicionales se envían al servicio de nube de VMware NSX® Advanced Threat Prevention para su correlación y visualización. Puede ver y administrar los resultados mediante la interfaz de usuario (IU) de NSX Network Detection and Response.

NSX Network Detection and Response correlaciona los eventos que para los que se determina que están relacionados con las campañas. Los eventos de amenazas de una campaña se organizan en una cronología que está disponible para que un analista de seguridad vea y mida usando la interfaz de usuario de NSX Network Detection and Response.

Tipos de eventos y orígenes de eventos

En la siguiente tabla se enumeran los tipos de eventos que NSX Network Detection and Response puede recopilar y los orígenes que generan esos eventos. Para que cualquiera de los orígenes de eventos envíe los eventos a NSX Network Detection and Response, debe activar la función de NSX correspondiente mencionada para el tipo de evento.
Tipo de evento Origen de eventos
Eventos de archivos malintencionados Dispositivo Edge, si activa la función VMware Prevención de malware de NSX®.
eventos de IDS IDS distribuido, si activa la función NSX IDS/IPS distribuido.
Eventos de anomalías de tráfico de red VMware NSX® Intelligence™, si está activado y si activa los detectores de Tráfico sospechoso de NSX.
Importante: Para maximizar la función NSX Network Detection and Response, active una o varias de las funciones de NSX cuyos eventos consume. Aunque puede activar la función NSX Network Detection and Response por su cuenta, si no activa ninguna de las funciones de NSX mencionadas en la tabla anterior, NSX Network Detection and Response no tiene ningún evento para analizar y, por lo tanto, no puede ofrecer ninguno de los beneficios que tiene para ofrecer.

Activar y usar la función

Antes de poder empezar a utilizar la función NSX Network Detection and Response, se deben cumplir requisitos específicos de licencia y software, y debe activar la función. Como se mencionó anteriormente, también debe activar y configurar las funciones de NSX correspondientes para empezar a utilizar NSX Network Detection and Response a fin de administrar los distintos tipos de eventos que puede supervisar en su entorno de NSX-T Data Center.

Para obtener más información sobre los próximos pasos, consulte Flujo de trabajo de activación y uso de NSX Network Detection and Response.

Activar otras funciones de NSX

Para obtener información sobre cómo activar y configurar las funciones de NSX cuyos eventos de detección consume NSX Network Detection and Response, consulte la siguiente tabla.
Función de NSX a activar Nombre y ubicación de la documentación Título del tema
NSX IDS/IPS Guía de administración de NSX-T Data Center para la versión 3.2 o posterior en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html Introducción a NSX IDS/IPS y Prevención de malware de NSX
Prevención de malware de NSX Guía de administración de NSX-T Data Center para la versión 3.2 o posterior en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html Activar Prevención de malware de NSX
NSX Intelligence Activar y actualizar VMware NSX Intelligence para la versión 3.2 o posterior en https://docs.vmware.com/es/VMware-NSX-Intelligence/index.html Activar NSX Intelligence
Tráfico sospechoso de NSX Usar y administrar VMware NSX Intelligence para la versión 3.2 o posterior en https://docs.vmware.com/es/VMware-NSX-Intelligence/index.html Activar los detectores de Tráfico sospechoso de NSX