Dado que la función Tráfico sospechoso de NSX genera análisis de amenazas de red en los datos de flujo de tráfico de red recopilados, informa sobre los eventos sospechosos detectados mediante la página Eventos de detección. Puede ver los eventos de detección en un gráfico de burbujas, una cuadrícula o ambos.

Requisitos previos

Administrar eventos de detección

De forma predeterminada, cuando se desplaza hasta Seguridad > Tráfico sospechoso > Eventos de detección, se muestran los eventos de detección tanto en el gráfico de burbujas como en los formatos de cuadrícula, como se muestra en la siguiente imagen. La tabla que sigue a la imagen describe las secciones numeradas resaltadas en la imagen.


Captura de pantalla de la pestaña Eventos de detección en la página de la interfaz de usuario Tráfico sospechoso. Las áreas clave de la interfaz de usuario están anotadas por marcadores numéricos en la imagen. Estos marcadores se describen en la tabla que sigue a la imagen.

Sección

Descripción

1

Proporciona el número total de detecciones de eventos sospechosos que realizó la función de Tráfico sospechoso de NSX durante el período de tiempo seleccionado.

2

En esta sección, seleccione el período de tiempo que utiliza el sistema para determinar qué datos históricos sobre los eventos detectados notifica Tráfico sospechoso de NSX en esta página de la interfaz de usuario. El período de tiempo va desde la hora actual hasta un determinado período de tiempo en el pasado. El período de tiempo predeterminado es Última hora. Para cambiar el período de tiempo seleccionado, haga clic en la selección actual y seleccione otro en el menú desplegable. Las selecciones disponibles son Última hora, Últimas 12 horas, Últimas 24 horas, Última semana, Últimas 2 semanas y Último mes.

3

La opción Gráfico determina si se muestra o no el gráfico de burbujas. Cuando la opción Gráfico está desactivada, solo la cuadrícula muestra información sobre los eventos de detección. De forma predeterminada, está en la posición Activado.

4

Si la función NSX Network Detection and Response está activada, cuando esté viendo la interfaz de usuario de Tráfico sospechoso de NSX, el icono del lanzador de aplicaciones icono del lanzador de aplicaciones estará visible en la esquina superior derecha de la interfaz de usuario.

Para ver más detalles sobre los eventos anómalos detectados mediante la interfaz de usuario de NSX Network Detection and Response, haga clic en el icono icono del lanzador de aplicaciones y seleccione NSX Network Detection and Response. En la interfaz de usuario NSX Network Detection and Response, vuelva a hacer clic en el icono del lanzador de aplicaciones y seleccione NSX-T para volver a la interfaz de usuario de Tráfico sospechoso de NSX.

5

Este gráfico de burbujas proporciona una escala de tiempo visual de cuándo se produjeron los eventos detectados durante el período de tiempo seleccionado. Cada evento se traza en función de la gravedad del evento de detección. A continuación se muestran las categorías de gravedad y sus correspondientes puntuaciones de gravedad.

  • Crítico: 75-100
  • Alto: 50-74

  • Mediano: 25-49

  • Bajo: 0-24

6

El área de filtro permite delimitar los eventos de detección que se muestran para el período de tiempo seleccionado. Haga clic en Eventos de detección de filtros y seleccione en el menú desplegable los filtros que desee aplicar y los elementos específicos en el menú desplegable adicional que se muestra. Los filtros disponibles incluyen los siguientes.

  • Puntuación de confianza: la puntuación que asigna el sistema en función de la confianza con que un evento es anómalo mediante los algoritmos propietarios que utiliza la función Tráfico sospechoso de NSX.

  • Detector: sensor diseñado para detectar eventos anómalos en el flujo de tráfico de red. Un detector se asigna a una única categoría o técnica ATT&CK de MITRE.

  • Puntuación de impacto: una puntuación calculada por un algoritmo patentado que utiliza una combinación de la puntuación de confianza para el evento de detección y su gravedad, si se detecta correctamente.

  • Tácticas: representa el motivo por el cual un grupo organizativo realizó una acción con una táctica de ATT&CK.

  • Técnicas: representa cómo un grupo organizativo intenta alcanzar un objetivo táctico de su ataque mediante técnicas o subtécnicas específicas.

  • Máquinas virtuales: las máquinas virtuales que participan en los eventos detectados que se produjeron durante el período de tiempo seleccionado.

7

Haga clic en Enviar para ver una lista de los distintos tipos de globos que pueden aparecer en el gráfico de burbujas. La siguiente lista describe cada globo y el tipo de evento de detección que representa.

  • Persistencia: el grupo está intentando mantener su retención en los sistemas de la red.

  • Acceso a credenciales: el grupo está intentando robo de nombres de cuentas y contraseñas.

  • Detección: el grupo está intentando obtener información sobre su entorno de red.

  • Comando y control: el servidor intenta comunicarse con sistemas comprometidos y controlarlos.

  • Movimiento lateral: un grupo está intentando pasar por el entorno de red.

  • Recopilación: un administrador intenta recopilar información que sería útil en su objetivo final.

  • Exfiltración: el grupo está intentando quitar datos de la red.

  • Otro: el detector no se puede asociar a una táctica específica según se define en el marco ATT&CK de MITRE.

  • Varios eventos: se produjo más de un evento de detección en el mismo segmento de tiempo. Al mover el control deslizante de la ventana de tiempo a la derecha, se cambia el alcance del tipo de burbujas que se muestran, por lo que una burbuja de varios eventos se puede dividir en varios y en otros tipos de burbujas.

8

Cada globo del gráfico representa un evento de detección o varios eventos que se produjeron durante el período de tiempo seleccionado. El color o el tipo de burbuja representan la táctica utilizada por el enrutador durante el ataque detectado. Consulte las descripciones en Leyenda para obtener más información.

9

El control deslizante de la ventana de tiempo permite ver los eventos de detección que se produjeron dentro de un subconjunto del período de tiempo seleccionado. El área azul resaltada representa lo que se muestra en el gráfico de burbujas. Cuando deslice el control deslizante hacia la derecha o la izquierda, el gráfico de burbujas se actualizará con los eventos de detección que se produjeron durante el período resaltado en el control deslizante. Si se producen eventos de detección al mismo tiempo, una burbuja Varios eventos representará esos eventos de detección. Al mover el control deslizante hacia la derecha, observará que la burbuja Varios eventos se expande a varias burbujas que representan los diferentes eventos de detección que se produjeron en ese período de tiempo.

10

La cuadrícula muestra información acerca de cada evento de detección identificado por la función Tráfico sospechoso de NSX durante el período de tiempo seleccionado. Cuando no se expande, una fila muestra los siguientes datos de eventos clave.

  • Impacto: la puntuación de impacto que la función Tráfico sospechoso de NSX calculó para el evento de detección

  • Gravedad: indica la gravedad del evento. Los valores posibles son Bajo, Medio, Alto y Crítico. Estos valores se corresponden con los que se utilizan en el gráfico de burbujas.

  • Hora detectada: la fecha y la hora en que se detectó el evento.

  • Detector: el nombre del detector que usó la función Tráfico sospechoso de NSX para detectar el evento. Al hacer clic en el nombre del detector, un cuadro de diálogo mostrará información adicional sobre el detector, como su objetivo, la categoría de ATT&CK y un resumen sobre el detector. La sección categoría de ATT&CK incluye un vínculo al sitio web de ATT&CK de MITRE que proporciona más detalles sobre esa categoría de ATT&CK en particular que se utiliza en el evento de detección.

  • Tipo: muestra la táctica y la técnica utilizadas en el evento de detección.

  • Objetos afectados: muestra las máquinas virtuales de origen y las máquinas virtuales de destino involucradas en el evento de detección.

La captura de pantalla de ejemplo también muestra una fila expandida. Cuando se expande, una fila muestra información de eventos adicional. Los detalles incluyen un resumen del evento detectado y una explicación de la visualización o de los datos de eventos adicionales que se muestran en la fila expandida. Por ejemplo, en la captura de pantalla anterior, la fila expandida muestra un resumen del evento detectado y lo que representa la visualización. No todos los eventos de detección tendrán visualización. Otros solo tienen datos detallados adicionales.

11

Una fila expandida también puede mostrar uno o varios vínculos en la esquina inferior derecha. Cuando se hace clic en ella, se muestra un vínculo a otra página de la interfaz de usuario en la que se proporciona más información sobre el evento detectado. A continuación se muestran los vínculos disponibles, cuando se aplican al evento de detección.

Es posible que se habilite el siguiente vínculo, aunque la función NSX Network Detection and Response no está activada.

  • Ver las máquinas virtuales afectadas y su tráfico actual: al hacer clic en este vínculo, el sistema mostrará el lienzo de visualización en la pestaña Planificar y solucionar problemas. Muestra las entidades informáticas involucradas en el evento de detección. Consulte Trabajar con la vista Recursos informáticos para obtener más información.

Si la aplicación NSX Network Detection and Response está activada, es posible que los siguientes vínculos también estén disponibles si corresponde al evento.

  • Campaña: si el servicio de nube NSX Advanced Threat Prevention identificó que este evento de detección forma parte de una campaña, este vínculo está habilitado. Al hacer clic en el vínculo, los detalles de la campaña se muestran en la página Campañas de la interfaz de usuario de NSX Network Detection and Response. Consulte Administrar la página Campañas para obtener más información.

  • Detalles del evento: al hacer clic en este vínculo, se abrirá una nueva pestaña del navegador y se mostrarán más detalles sobre el evento de detección en la página Perfil del evento de la interfaz de usuario de NSX Network Detection and Response. Consulte Trabajar con la página Eventos para obtener más información.