El objetivo de la función Tráfico sospechoso de NSX de la aplicación NSX Intelligence es detectar comportamientos de tráfico de red sospechosos o anómalos en el entorno de NSX.

Cómo funciona

Después de cumplir los requisitos previos, la función Tráfico sospechoso de NSX puede comenzar a generar análisis de amenazas de red en los datos de flujo de tráfico de red este-oeste que NSX Intelligence recopiló a partir de las cargas de trabajo de NSX aptas (hosts o clústeres de hosts). NSX Intelligence almacena los datos recopilados y los conserva durante 30 días. El motor Tráfico sospechoso de NSX analiza los datos y marca las actividades sospechosas mediante los detectores compatibles. Puede ver la información sobre los eventos de amenazas detectados mediante la pestaña Eventos de la página de la interfaz de usuario de Tráfico sospechoso de NSX.

Si se activa, la aplicación NSX Network Detection and Response enviará los eventos de tráfico sospechoso al servicio de nube de VMware NSX® Advanced Threat Prevention para un análisis más profundo. Si el servicio de NSX Advanced Threat Prevention determina que ciertos eventos de tráfico sospechoso están relacionados, correlacionará esos eventos de tráfico sospechoso en una campaña. A continuación, el servicio organizará los eventos de esa campaña en una escala de tiempo y los visualizará en la interfaz de usuario de NSX Network Detection and Response. Todos los eventos de amenazas se visualizan en la interfaz de usuario de NSX Network Detection and Response. El equipo de seguridad de red puede investigar los eventos y las campañas de amenazas individuales. El servicio en la nube de NSX Advanced Threat Prevention obtiene actualizaciones periódicas de las amenazas detectadas anteriormente y actualiza las pantallas de visualización de la interfaz de usuario cuando es necesario.

Detectores compatibles

En la siguiente tabla se indican los detectores compatibles que utiliza la función Tráfico sospechoso de NSX para clasificar el tráfico de red sospechoso detectado. Las detecciones generadas por estos detectores pueden asociarse a técnicas o tácticas específicas en el marco ATT&CK® de MITRE.

Estos detectores están desactivados de forma predeterminada, por lo que deberá activar explícitamente cada detector que desee utilizar en su entorno de NSX. Consulte Activar los detectores de Tráfico sospechoso de NSX para obtener más información sobre los requisitos previos y cómo activar los detectores.

Puede administrar las listas de exclusión y el valor de probabilidad de algunas de las definiciones de estos detectores compatibles mediante la pestaña Definiciones de detector. Consulte Administrar las definiciones de detectores de Tráfico sospechoso de NSX para obtener detalles.

Tabla 1. Categorías de detector utilizadas para detectar tráfico sospechoso

Nombre del detector

Descripción

Carga y descarga de datos

Detecta transferencias de datos inusualmente grandes (cargas/descargas) de un host.

Generador de perfiles de IP de destino

Detecta los intentos de los dispositivos internos de realizar conexiones inusuales hacia otros hosts internos.

Túnel de DNS

Detectar los intentos de un dispositivo interno de comunicarse de forma encubierta con un servidor externo si se está utilizando el tráfico DNS.

Algoritmo de generación de dominio (DGA)

Detectar anomalías en las búsquedas de DNS realizadas por un host interno que podrían deberse a malware DGA.

Exploración de puertos horizontales

Detectar si un intruso intenta escanear uno o varios puertos o servicios en varios sistemas (barrido).

Envenenamiento y retransmisión de LLMNR/NBT-NS

Permite detectar si una máquina virtual muestra un patrón de respuesta inusual para las solicitudes LLMNR/NBT-NS.

Señalización de Netflow

Detecta el comportamiento de señalización desde un host interno.

Descarte de tráfico de red

Detectar si una regla de firewall distribuido descarta una cantidad inusualmente alta de tráfico.

Generador de perfiles de puerto

Permite detectar cuándo un host de cliente interno se comunica con un host externo en un puerto inusual.

Generador de perfiles de puerto de servidor

Detecta cuándo otro host interno está conectado a un host interno en un puerto inusual.

Servicios remotos

Detecta un comportamiento sospechoso de las conexiones remotas, como telnet, SSH y VNC.

Puerto de uso no común

Detecta que el tráfico del identificador de aplicación de capa 7 no coincide con el puerto o el protocolo asignados estándar. Por ejemplo, el tráfico SSH se ejecuta en un puerto no estándar en lugar del puerto estándar 22.

Patrón de tráfico de red inusual

Detecta anomalías en el perfil de serie temporal de un host.

Exploración de puertos verticales

Detectar si un intruso intenta atacar varios puertos o servicios abiertos de un mismo sistema (escaneado).