El objetivo principal de la función NSX Network Detection and Response es recopilar actividades anómalas clave o eventos malintencionados de cada origen de evento activado en el entorno de NSX.

Eventos recopilados

NSX Network Detection and Response envía los eventos recopilados que requieren análisis adicionales al servicio de nube de VMware NSX® Advanced Threat Prevention para su correlación y visualización. Puede ver y administrar los resultados del análisis mediante la interfaz de usuario (IU) de NSX Network Detection and Response.

NSX Network Detection and Response correlaciona los eventos que determina que están relacionados con las campañas. Organiza los eventos de amenazas de una campaña en una cronología que está disponible para que un analista de seguridad puede ver y clasificar mediante la interfaz de usuario de NSX Network Detection and Response.

Tipos de eventos y orígenes de eventos

En la siguiente tabla se enumeran los tipos de eventos que NSX Network Detection and Response puede recopilar y los orígenes que generan esos eventos. Para que cualquiera de los orígenes de eventos envíe los eventos a NSX Network Detection and Response, debe activar la función de NSX correspondiente mencionada para el tipo de evento.
Tipo de evento Origen de eventos
Eventos de archivos malintencionados Dispositivo Edge, si activa la función Prevención de malware de VMware NSX®.
eventos de IDS IDS distribuido, si activa la función NSX IDS/IPS distribuido.
Eventos de anomalías de tráfico de red VMware NSX® Intelligence™, si está activado y si activa los detectores de Tráfico sospechoso de NSX.
Importante: Para maximizar la función NSX Network Detection and Response, active una o varias de las funciones de NSX cuyos eventos consume. Aunque puede activar la función NSX Network Detection and Response por su cuenta, si no activa ninguna de las funciones de NSX mencionadas en la tabla anterior, NSX Network Detection and Response no tendrá ningún evento para analizar y, por tanto, no podrá ofrecer ninguno de los beneficios que ofrece.

Activar y usar la función

Para poder empezar a utilizar la función NSX Network Detection and Response, debe activarla y además cumplir requisitos específicos de licencia y software. Para empezar a usar NSX Network Detection and Response para administrar los distintos tipos de eventos que puede supervisar en su entorno de NSX, también debe activar y configurar las correspondientes funciones de NSX.

Para obtener más información sobre los próximos pasos, consulte Flujo de trabajo de activación y uso de NSX Network Detection and Response.

Activar otras funciones de NSX

Para obtener información sobre cómo activar y configurar las funciones de NSX cuyos eventos de detección consume NSX Network Detection and Response, consulte la siguiente tabla.
Función de NSX a activar Nombre y ubicación de la documentación Título del tema
NSX IDS/IPS Guía de administración de NSX para la versión 3.2 o posteriores. Introducción a NSX IDS/IPS y Prevención de malware de NSX
Prevención de malware de NSX Guía de administración de NSX para la versión 3.2 o posteriores. Activar Prevención de malware de NSX
NSX Intelligence Activar y actualizar VMware NSX Intelligence para la versión 3.2 o posteriores incluido en la documentación de VMware NSX Intelligence. Activar NSX Intelligence
Tráfico sospechoso de NSX Usar y administrar VMware NSX Intelligence para la versión 3.2 o posteriores incluido en la documentación de VMware NSX Intelligence. Activar los detectores de Tráfico sospechoso de NSX