Activar los detectores de Tráfico sospechoso de NSX

Antes de que se detecten amenazas o datos sospechosos de tráfico de red en su entorno de NSX, debe activar manualmente los detectores de Tráfico sospechoso de NSX que desea que utilice NSX Intelligence. Solo los detectores que estén activados se utilizarán para supervisar eventos de tráfico de red sospechosos.

Requisitos previos

Compruebe que cumple los requisitos de licencia y software especificados en Requisitos del sistema para la función Tráfico sospechoso de NSX.
Debe haber iniciado sesión en NSX Manager con una de las siguientes funciones integradas en NSX. Consulte Control de acceso basado en funciones en NSX Intelligence para obtener más información.
- Administrador de organización
- Administrador de seguridad

Procedimiento

En un navegador, inicie sesión con los privilegios necesarios en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
Utilice los siguientes pasos para activar un detector de Tráfico sospechoso de NSX compatible para realizar un análisis del tráfico de red en los datos de tráfico recopilados.

Tenga en cuenta que los siguientes pasos son para todos los detectores disponibles, excepto para los basados en DNS, que deben configurarse manualmente antes de que se puedan utilizar. Consulte el siguiente paso después de este para obtener información sobre la configuración de detectores basados en DNS.
1. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
2. Busque el detector que desea activar y haga clic en Editar (icono de lápiz).
3. Busque el conmutador de alternancia en el extremo derecho de la fila expandida y haga clic en el conmutador de alternancia para activar el detector, como se muestra en la siguiente imagen.
4. Haga clic en Guardar.
Para activar detectores basados en DNS, como el algoritmo de generación de dominios (DGA) y la tunelización de DNS, realice los siguientes pasos una sola vez.
1. Cree un perfil de contexto de DNS personalizado o utilice un perfil de contexto predeterminado proporcionado por el sistema.
  
  Consulte los detalles sobre cómo agregar un perfil de contexto en la Guía de administración de NSX incluida en la documentación de VMware NSX para NSX 3.2 o versiones posteriores.
2. Cree una regla de firewall distribuido usando ANY en las columnas Orígenes y Destinos; y usando el perfil de contexto de DNS, si creó uno.
  
  Consulte los detalles sobre cómo agregar una regla de firewall distribuido en la Guía de administración de NSX incluida en la documentación de VMware NSX para NSX 3.2 o versiones posteriores.
3. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
4. Busque el detector basado en DNS que desea activar y haga clic en Editar (icono de lápiz).
5. En el extremo derecho de la fila expandida, busque el conmutador de alternancia para ese detector basado en DNS. Para activar el detector, haga clic en el conmutador de alternancia.
6. Haga clic en Guardar.

Resultados

Los conmutadores de alternancia de los detectores activados se muestran activados en la pestaña Definiciones de detector.

Qué hacer a continuación

Administre los eventos de tráfico sospechoso detectados. Consulte Analizar eventos de tráfico sospechoso para obtener detalles.