Puede configurar los ajustes de anomalía de tráfico de red (Network Traffic Anomaly, NTA) mediante la función NSX Suspicious Traffic. Puede configurar la función NSX Suspicious Traffic desde NSX Network Detection and Response o NSX Intelligence.
La pestaña Definiciones de detector de NTA en la página Configuración muestra todos los detectores compatibles actualmente con la función NSX Suspicious Traffic.
Un detector se desactiva de forma predeterminada. Debe activar manualmente cada detector para poder empezar a supervisar los flujos de tráfico de red en su entorno de NSX. Para obtener más información, consulte Activar los detectores de tráfico sospechoso.
El detector de NSX Suspicious Traffic que aparece en la pestaña Definiciones de detector de NTA por lo general incluye lo siguiente.
- Nombre y descripción del detector
- Botón de alternancia Activar/Desactivar
- Control deslizante de probabilidad (sensibilidad)
El control deslizante permite establecer la probabilidad de que un detector genere una alerta. Para una detección que se encuentra por debajo del umbral de probabilidad, el sistema descartará el evento de tráfico sospechoso. Este control deslizante no se incluye para todos los detectores.
- Exclusiones
Una exclusión de máquina virtual es una lista estática de máquinas virtuales que el detector excluye de la función Tráfico sospechoso de NSX. Para una exclusión de grupo, si el detector excluye un miembro dependerá de cuándo ejecuta el sistema el detector. Si el grupo no existe en el momento en que el sistema ejecuta el detector, es posible que el sistema genere una advertencia en los registros del sistema. Si la máquina virtual no existe en el momento en que el sistema ejecuta el detector, el detector ignorará silenciosamente la configuración de exclusión. La exclusión de grupos no es compatible con todos los detectores de NSX Suspicious Traffic.