La pestaña Definiciones de detector en la página Tráfico sospechoso muestra todos los detectores compatibles actualmente con la función Tráfico sospechoso de NSX en NSX Intelligence.

Un detector se desactiva de forma predeterminada. Debe activar manualmente cada detector para poder empezar a supervisar los flujos de tráfico de red en su entorno de NSX. Consulte Activar los detectores de Tráfico sospechoso de NSX para obtener detalles.

Cada detector de Tráfico sospechoso de NSX que aparece en la pestaña Definiciones de detector por lo general incluye lo siguiente.

  • Nombre y descripción del detector

  • Botón de alternancia Activar/Desactivar

  • Control deslizante de probabilidad (sensibilidad)

    El control deslizante permite establecer la probabilidad de que un detector genere una alerta. Para una detección que se encuentra por debajo del umbral de probabilidad, el sistema descartará el evento de tráfico sospechoso. Este control deslizante no se incluye para todos los detectores.

  • Exclusiones

    Una exclusión de máquina virtual es una lista estática de máquinas virtuales que el detector excluye de la función Tráfico sospechoso de NSX. Para una exclusión de grupo, si el detector excluye un miembro dependerá de cuándo ejecuta el sistema el detector. Si el grupo no existe en el momento en que el sistema ejecuta el detector, es posible que el sistema genere una advertencia en los registros del sistema. Si la máquina virtual no existe en el momento en que el sistema ejecuta el detector, el detector ignorará silenciosamente la configuración de exclusión. La exclusión de grupos no es compatible con todos los detectores de Tráfico sospechoso de NSX.

Modificar algunos valores de propiedad de una definición de detector

Para modificar algunos de los valores de propiedad predeterminados para seleccionar definiciones de detector de Tráfico sospechoso de NSX, utilice la pestaña Definiciones de detector.

La siguiente imagen muestra un ejemplo de una definición de detector que está en modo de edición.
Captura de pantalla de la tarjeta de definición del detector de exploración de puertos horizontales en modo Editar.

Requisitos previos

  • NSX Intelligence 3.2 o una versión posterior debe estar activada.
  • Debe haber iniciado sesión en NSX Manager con una de las siguientes funciones de NSX.
    • Administrador de organización
    • Administrador de seguridad

Procedimiento

  1. En un navegador, inicie sesión con los privilegios necesarios en un dispositivo de NSX Manager desde https://<dirección-ip-nsx-manager>.
  2. Desplácese hasta la pestaña Seguridad > Tráfico sospechoso > Definiciones de detector.
  3. Busque el detector cuya definición desea modificar y haga clic en Editar (icono de lápiz).
  4. Para activar o desactivar el detector, haga clic en el botón de alternancia.
  5. Si se incluye un control deslizante en la definición; mueva el control deslizante al valor deseado que utiliza el detector para identificar un evento de tráfico sospechoso.

    Si se establece el control deslizante en un valor menor, es más probable que ese detector identifique un evento de tráfico sospechoso.

  6. Defina la lista de exclusión.
    1. Haga clic en Aplicar filtro y, en el menú desplegable, seleccione Grupos o Máquinas virtuales para el origen. Algunos detectores solo permiten seleccionar Máquinas virtuales.
    2. Defina la lista de exclusión seleccionando en la lista de grupos o máquinas virtuales disponibles.
    3. Haga clic en Aplicar.
  7. Haga clic en Guardar.