NSX Network Detection and Response agrega detecciones si cumplen determinadas condiciones.
Un evento de detección no corresponde a una única instancia de actividad malintencionada detectada en un momento específico. En lugar de eso, agrega una actividad similar que afecta a la misma carga de trabajo, en un período de hasta 24 horas. Cuando la canalización de procesamiento de NSX Network Detection and Response recibe nuevos datos de detección, se comparan con los eventos de detección existentes para determinar si se pueden agregar a un evento de detección existente. Si es así, se agrega a ese evento de detección existente. De lo contrario, se creará un nuevo evento de detección. Esta agregación puede producirse si se cumplen una serie de condiciones.
Para agregar las detecciones a un mismo evento de detección, es necesario cumplir las siguientes condiciones:
- El evento de detección general no dura más de 24 horas.
- La misma carga de trabajo se ve afectada:
- Mismo UUID de máquina virtual (si existe alguno)
- Misma dirección IP (si existe alguna)
- El tipo de evento es el mismo.
-
Se detectó el mismo tipo de actividad de la misma forma.
Por ejemplo, para las detecciones de IDS, eso significa que debe coincidir la misma firma.