La pestaña Definiciones de detector en la página Tráfico sospechoso muestra todos los detectores compatibles actualmente con la función Tráfico sospechoso de NSX.

Un detector se desactiva de forma predeterminada. Debe activar manualmente cada detector para poder empezar a supervisar los flujos de tráfico de red en su entorno de NSX-T. Consulte Activar los detectores de Tráfico sospechoso de NSX para obtener información detallada.

Cada detector de Tráfico sospechoso de NSX que aparece en la pestaña Definiciones de detector por lo general incluye lo siguiente.

  • Nombre y descripción del detector

  • Botón de alternancia Habilitar/deshabilitar

  • Control deslizante de probabilidad (sensibilidad)

    El control deslizante permite establecer la probabilidad de que un detector genere una alerta. Para una detección que se encuentra por debajo del umbral de probabilidad, el sistema descartará el evento de detección. Este control deslizante no se incluye para todos los detectores.

  • Exclusiones

    Una exclusión de máquina virtual es una lista estática de máquinas virtuales que el detector excluye de la función Tráfico sospechoso de NSX. Para una exclusión de grupo, si el detector excluye un miembro dependerá de cuándo ejecuta el sistema el detector. Si el grupo no existe en el momento en que el sistema ejecuta el detector, es posible que el sistema genere una advertencia en los registros del sistema. Si la máquina virtual no existe en el momento en que el sistema ejecuta el detector, el detector ignorará silenciosamente la configuración de exclusión. La exclusión de grupos no es compatible con todos los detectores de Tráfico sospechoso de NSX.

Modificar algunos valores de propiedad de una definición de detector

Para modificar algunos de los valores de propiedad predeterminados para seleccionar definiciones de detector de Tráfico sospechoso de NSX, utilice la pestaña Definiciones de detector.

La siguiente imagen muestra un ejemplo de una definición de detector que está en modo de edición.
Captura de pantalla de la tarjeta de definición del detector de exploración de puertos horizontales en modo Editar. Incluye el nombre y la definición del detector, el botón de alternancia activado/desactivado, la descripción del detector, el control deslizante que se puede establecer para determinar la probabilidad de que el detector genere una alerta y la exclusión.

Requisitos previos

  • Se debe activar la aplicación NSX Intelligence 3.2 o una versión posterior.
  • Debe haber iniciado sesión en NSX Manager con una de las siguientes funciones NSX-T.
    • Administrador de organización
    • Administrador de seguridad

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
  3. Busque el detector cuya definición desea modificar y haga clic en Editar (icono de lápiz).
  4. Para activar o desactivar el detector, haga clic en el botón de alternancia.
  5. Si se incluye un control deslizante en la definición, mueva el control deslizante al valor deseado que utiliza el detector para generar un evento de detección.

    Si se establece el control deslizante en un valor menor, es más probable que ese detector genere un evento de detección.

  6. Defina la lista de exclusión.
    1. Haga clic en Aplicar filtro y, en el menú desplegable, seleccione Grupos o Máquinas virtuales para el origen.
    2. Realice su selección en la lista de grupos o máquinas virtuales disponibles.
    3. Haga clic en Aplicar.
  7. Haga clic en Guardar.