Antes de que se detecten amenazas o datos sospechosos de tráfico de red en su entorno de NSX-T Data Center, debe activar manualmente los detectores de Tráfico sospechoso de NSX que desea utilizar. Solo los detectores que estén activados se utilizarán para supervisar eventos de tráfico de red sospechosos.

Requisitos previos

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Utilice los siguientes pasos para activar un detector de Tráfico sospechoso de NSX compatible para realizar un análisis del tráfico de red en los datos de tráfico recopilados.

    Tenga en cuenta que los siguientes pasos son para todos los detectores disponibles, excepto para los basados en DNS, que deben configurarse manualmente antes de que se puedan utilizar. Consulte el siguiente paso después de este para obtener información sobre la configuración de detectores basados en DNS.

    1. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
    2. Busque el detector que desea activar y haga clic en Editar (icono de lápiz).
    3. Busque el conmutador de alternancia en el extremo derecho de la fila expandida y haga clic en el conmutador de alternancia para activar el detector, como se muestra en la siguiente imagen.

      Captura de pantalla de la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector, con la fila del detector de perfiles de IP de destino expandida y el puntero del mouse apuntando al conmutador de alternancia.

    4. Haga clic en Guardar.
  3. Para activar detectores basados en DNS, como el algoritmo de generación de dominios (DGA) y la tunelización de DNS, realice los siguientes pasos una sola vez.
    1. Cree un perfil de contexto de DNS personalizado o utilice un perfil de contexto predeterminado proporcionado por el sistema.

      Consulte los detalles sobre cómo agregar un perfil de contexto en la Guía de administración de NSX-T Data Center de la versión 3.2 o posteriores en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html.

    2. Cree una regla de firewall distribuido usando ANY en las columnas Orígenes y Destinos; y usando el perfil de contexto de DNS, si creó uno.

      Consulte los detalles sobre cómo agregar una regla de firewall distribuido en la Guía de administración de NSX-T Data Center de la versión 3.2 o posteriores en https://docs.vmware.com/es/VMware-NSX-T-Data-Center/index.html.

    3. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
    4. Busque el detector basado en DNS que desea activar y haga clic en Editar (icono de lápiz).
    5. En el extremo derecho de la fila expandida, busque el conmutador de alternancia para ese detector basado en DNS. Para activar el detector, haga clic en el conmutador de alternancia.
    6. Haga clic en Guardar.

Resultados

Los conmutadores de alternancia de los detectores activados se muestran activados en la pestaña Definiciones de detector.

Qué hacer a continuación

Administre los eventos de tráfico sospechoso detectados. Consulte Análisis de los eventos de detección de Tráfico sospechoso de NSX para obtener información detallada.