Después de que NSX Intelligence recopile los datos de flujo del tráfico de red, el motor de Tráfico sospechoso de NSX generará un análisis de amenazas de red a partir de los datos recopilados y utilizará la página Eventos para notificar los eventos de tráfico sospechoso detectados. Puede ver información sobre los eventos de tráfico sospechoso en un gráfico de burbuja, una cuadrícula o ambos formatos.

Requisitos previos

Administrar eventos de tráfico sospechosos

De forma predeterminada, cuando se desplaza hasta Seguridad > Tráfico sospechoso > Eventos, se muestran los eventos de tráfico sospechoso tanto en el gráfico de burbujas como en los formatos de cuadrícula, como se muestra en la siguiente imagen. La tabla que sigue a la imagen describe las secciones numeradas resaltadas en la imagen.


Captura de pantalla de la pestaña Eventos en la página de la interfaz de usuario Tráfico sospechoso.

Sección

Descripción

1

Proporciona el número total de detecciones de eventos de tráfico sospechoso que realizó la función de Tráfico sospechoso de NSX durante el período de tiempo seleccionado.

2

En esta sección, seleccione el período de tiempo que utiliza el sistema para determinar qué datos históricos sobre los eventos detectados notifica Tráfico sospechoso de NSX en esta página de la interfaz de usuario. El período de tiempo va desde la hora actual hasta un determinado período de tiempo en el pasado. El período de tiempo predeterminado es Última hora. Para cambiar el período de tiempo seleccionado, haga clic en la selección actual y seleccione otro en el menú desplegable. Las selecciones disponibles son Última hora, Últimas 12 horas, Últimas 24 horas, Última semana, Últimas 2 semanas y Último mes.

3

La opción Gráfico determina si se muestra o no el gráfico de burbujas. Cuando la opción Gráfico está desactivada, solo la cuadrícula muestra información sobre los eventos de tráfico sospechoso. De forma predeterminada, está en la posición Activado.

4

Si la función NSX Network Detection and Response está activada, cuando esté viendo la interfaz de usuario de Tráfico sospechoso de NSX, el icono del lanzador de aplicaciones icono del lanzador de aplicaciones estará visible en la esquina superior derecha de la interfaz de usuario.

Para ver más detalles sobre los eventos anómalos detectados mediante la interfaz de usuario de NSX Network Detection and Response, haga clic en el icono icono del lanzador de aplicaciones y seleccione NSX Network Detection and Response. En la interfaz de usuario NSX Network Detection and Response, vuelva a hacer clic en el icono del lanzador de aplicaciones y seleccione NSX para volver a la interfaz de usuario de Tráfico sospechoso de NSX.

5

Este gráfico de burbujas proporciona una escala de tiempo visual de cuándo se produjeron los eventos detectados durante el período de tiempo seleccionado. Cada evento se traza en función de la gravedad del evento de tráfico sospechoso. A continuación se muestran las categorías de gravedad y sus correspondientes puntuaciones de gravedad.

  • Crítico: 75-100
  • Alto: 50-74

  • Mediano: 25-49

  • Bajo: 0-24

6

El área de filtro permite delimitar los eventos de tráfico sospechoso que se muestran para el período de tiempo seleccionado. Haga clic en Filtrar eventos y seleccione en el menú desplegable los filtros que desee aplicar y los elementos específicos en el menú desplegable secundario que se muestra. Los filtros disponibles incluyen los siguientes.

  • Puntuación de confianza: la puntuación que asigna el sistema en función de la confianza con que un evento es anómalo mediante los algoritmos propietarios que utiliza la función Tráfico sospechoso de NSX.

  • Detector: sensor diseñado para detectar eventos anómalos en el flujo de tráfico de red. Un detector se asigna a una única categoría o técnica ATT&CK de MITRE.

  • Puntuación de impacto: una puntuación calculada por un algoritmo patentado que utiliza una combinación de la puntuación de confianza para el evento de tráfico sospechoso y su gravedad, si se detecta correctamente.

  • Tácticas: representa el motivo por el cual un grupo organizativo realizó una acción con una táctica de ATT&CK.

  • Técnicas: representa cómo un grupo organizativo intenta alcanzar un objetivo táctico de su ataque mediante técnicas o subtécnicas específicas.

  • Máquinas virtuales: las máquinas virtuales que participan en los eventos detectados que se produjeron durante el período de tiempo seleccionado.

7

Haga clic en Enviar para ver una lista de los distintos tipos de globos que pueden aparecer en el gráfico de burbujas. La siguiente lista describe cada burbuja y el tipo de evento de tráfico sospechoso que representa.

  • Persistencia: el grupo está intentando mantener su retención en los sistemas de la red.

  • Acceso a credenciales: el grupo está intentando robo de nombres de cuentas y contraseñas.

  • Detección: el grupo está intentando obtener información sobre su entorno de red.

  • Comando y control: el servidor intenta comunicarse con sistemas comprometidos y controlarlos.

  • Movimiento lateral: un grupo está intentando pasar por el entorno de red.

  • Recopilación: un administrador intenta recopilar información que sería útil en su objetivo final.

  • Exfiltración: el grupo está intentando quitar datos de la red.

  • Otro: el detector no se puede asociar a una táctica específica según se define en el marco ATT&CK de MITRE.

  • Varios eventos: se produjo más de un evento de tráfico sospechoso en el mismo segmento de tiempo. Al mover el control deslizante de la ventana de tiempo a la derecha, se cambia el ámbito del tipo de burbujas que se muestran, por lo que una burbuja de varios eventos se puede dividir en varios y en otros tipos de burbujas. Si hace clic en una burbuja de varios eventos, verá la lista de todos los eventos en un poste indicador. Al hacer clic en una fila de la tabla en el poste indicador, accederá a la fila de la burbuja relacionada en la cuadrícula de abajo.

8

Cada burbuja del gráfico representa un evento de tráfico sospechoso o varios eventos que se produjeron durante el período de tiempo seleccionado. El color o el tipo de burbuja representan la táctica utilizada por el enrutador durante el ataque detectado. Consulte las descripciones en Leyenda para obtener más información.

9

El control deslizante de la ventana de tiempo permite ver los eventos de tráfico sospechoso que se produjeron dentro de un subconjunto del período de tiempo seleccionado. El área azul resaltada representa lo que se muestra en el gráfico de burbujas. Cuando deslice el control deslizante hacia la derecha o la izquierda, el gráfico de burbujas se actualizará con los eventos de tráfico sospechoso que se produjeron durante el período resaltado en el control deslizante. Si se producen eventos de tráfico sospechoso al mismo tiempo, una burbuja Varios eventos representará esos eventos de tráfico sospechoso. Al mover el control deslizante hacia la derecha, observará que la burbuja Varios eventos se expande a varias burbujas que representan los diferentes eventos de tráfico sospechoso que se produjeron en ese período de tiempo.

10

La cuadrícula muestra información acerca de cada evento de tráfico sospechoso identificado por la función Tráfico sospechoso de NSX durante el período de tiempo seleccionado. Cuando no se expande, una fila muestra los siguientes datos de eventos clave.

  • Impacto: el número que se muestra dentro del hexágono es la puntuación de impacto calculada por la función Tráfico sospechoso de NSX para el evento de tráfico sospechoso. La puntuación de impacto es la combinación de la confianza del evento (Puntuación de confianza) y el nivel de gravedad de la amenaza (Puntuación de gravedad), si se detecta correctamente. Al colocar el cursor en el icono de hexágono, se mostrará la Puntuación de confianza y la Puntuación de gravedad. El color del hexágono y el texto que se muestra junto a él también reflejan la misma puntuación de impacto. Las puntuaciones de impacto se definen de la siguiente forma.

    • Una puntuación de impacto de 75 a 100 se representa con un hexágono con bordes rojos y el texto Crítico.
    • Una puntuación de impacto de 50 a 74 se representa con un hexágono con bordes naranjas y el texto Alto.
    • Una puntuación de impacto de 25 a 49 se representa con un hexágono con bordes amarillos y el texto Medio.
    • Una puntuación de impacto de 0 a 24 se representa con un hexágono con bordes grises y el texto Bajo.
  • Hora detectada: la fecha y la hora en que se detectó el evento.

  • Detector: el nombre del detector que usó la función Tráfico sospechoso de NSX para detectar el evento. Al hacer clic en el nombre del detector, un cuadro de diálogo mostrará más información sobre el detector, como su objetivo, la categoría de ATT&CK y un resumen sobre el detector. La sección categoría de ATT&CK incluye un vínculo al sitio web de ATT&CK de MITRE que proporciona más detalles sobre esa categoría de ATT&CK en particular que se utiliza en el evento de tráfico sospechoso.

  • Tipo: muestra la táctica y la técnica utilizadas en el evento de tráfico sospechoso.

  • Objetos afectados: muestra las máquinas virtuales de origen y las máquinas virtuales de destino involucradas en el evento de tráfico sospechoso.

La captura de pantalla de ejemplo también muestra una fila expandida. Cuando se expande, una fila muestra más información de eventos. Los detalles incluyen un resumen del evento detectado y una explicación de la visualización o más datos de los eventos que se muestran en la fila expandida. Por ejemplo, en la captura de pantalla anterior, la fila expandida muestra un resumen del evento detectado y lo que representa la visualización. No todos los eventos de tráfico sospechosos tendrán visualización. Otros solo tienen datos más detallados.

11

Una fila expandida también puede mostrar uno o varios vínculos en la esquina inferior derecha. Cuando se hace clic en ella, se muestra un vínculo a otra página de la interfaz de usuario en la que se proporciona más información sobre el evento detectado. A continuación se muestran los vínculos disponibles, cuando se aplican al evento de tráfico sospechoso.

Es posible que se habilite el siguiente vínculo, aunque la función NSX Network Detection and Response no está activada.

  • Ver las máquinas virtuales afectadas y su tráfico actual: al hacer clic en este vínculo, el sistema mostrará el lienzo de visualización en la pestaña Planificar y solucionar problemas. Muestra las entidades informáticas involucradas en el evento de tráfico sospechoso. Consulte Trabajar con la vista Recursos informáticos en NSX Intelligence para obtener más información.

Si la aplicación NSX Network Detection and Response está activada, es posible que los siguientes vínculos también estén disponibles si corresponde al evento.

  • Campaña: si el servicio de nube NSX Advanced Threat Prevention identificó que este evento de tráfico sospechoso forma parte de una campaña, este vínculo está habilitado. Al hacer clic en el vínculo, los detalles de la campaña se muestran en la página Campañas de la interfaz de usuario de NSX Network Detection and Response. Para obtener más información, consulte el tema "Administrar la página Campañas" de la sección NSX Network Detection and Response del capítulo Seguridad de la Guía de administración de NSX. Puede encontrar la Guía de administración de NSX de la versión 3.2 y posteriores en la documentación de VMware NSX.

  • Detalles del evento: al hacer clic en este vínculo, se abrirá una nueva pestaña del navegador y se mostrarán más detalles sobre el evento de tráfico sospechoso en la página Perfil del evento de la interfaz de usuario de NSX Network Detection and Response. Para obtener más información, consulte el tema "Trabajar con la página Eventos" en la sección NSX Network Detection and Response del capítulo Seguridad de la Guía de administración de NSX. Puede encontrar la Guía de administración de NSX de la versión 3.2 y posteriores en la documentación de VMware NSX.