L'onglet Définitions du détecteur de la page Trafic suspect affiche tous les détecteurs actuellement pris en charge par la fonctionnalité Trafic suspect NSX dans NSX Intelligence.

Un détecteur est désactivé par défaut. Vous devez transformer manuellement chaque détecteur pour qu'il puisse commencer à surveiller les flux de trafic réseau dans votre environnement NSX. Reportez-vous à Activer les détecteurs Trafic suspect NSX pour plus de détails.

Chaque détecteur de Trafic suspect NSX répertorié dans l'onglet Définitions du détecteur inclut généralement les éléments suivants.

  • Nom et description du détecteur

  • Bouton bascule Activer/Désactiver

  • Curseur de probabilité (sensibilité)

    Le curseur vous permet de définir la probabilité qu'un détecteur génère une alerte. Pour une détection qui passe sous le seuil de probabilité, le système ignore l'événement de trafic suspect. Ce curseur n’est pas inclus pour tous les détecteurs.

  • Exclusions

    Une exclusion de machine virtuelle est une liste statique de machines virtuelles que la fonctionnalité de Trafic suspect NSX exclut de la surveillance par le détecteur. Pour une exclusion de groupe, l'exclusion d'un membre par le détecteur dépend du moment où le système exécute le détecteur. Si le groupe n'existe pas au moment où le système exécute le détecteur, le système peut générer un avertissement dans les journaux système. Si la machine virtuelle n'existe pas au moment où le système exécute le détecteur, le détecteur ignore silencieusement le paramètre d'exclusion. L'exclusion de groupe n'est pas prise en charge par tous les détecteurs Trafic suspect NSX.

Modifier certaines valeurs de propriété d’une définition de détecteur

Pour modifier certaines des valeurs de propriétés par défaut pour sélectionner des définitions de détecteur Trafic suspect NSX, utilisez l'onglet Définitions de détecteur.

L'image suivante montre un exemple de définition de détecteur qui est en mode d'édition.
Capture d'écran d'une carte de définition de détecteur d'analyse de port horizontal en mode d'édition.

Conditions préalables

  • NSX Intelligence 3.2 ou version ultérieure doit être activé.
  • Vous devez être connecté à NSX Manager à l'aide de l'un des rôles NSX suivants.
    • Administrateur d'entreprise
    • Administrateur de sécurité

Procédure

  1. Dans le navigateur, connectez-vous avec les privilèges requis à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez à l'onglet Sécurité > Trafic suspect > Définition de détecteur.
  3. Localisez le détecteur dont vous souhaitez modifier la définition et cliquez sur Modifier (icône en forme de crayon).
  4. Pour activer ou désactiver le détecteur, cliquez sur le bouton bascule.
  5. Si un curseur est inclus dans la définition, déplacez-le vers la valeur souhaitée que le détecteur utilise pour identifier un événement de trafic suspect.

    Si vous définissez le curseur sur une valeur inférieure, il est plus probable que ce détecteur identifie un événement de trafic suspect.

  6. Définissez la liste d’exclusion.
    1. Cliquez sur Appliquer le filtre et, dans le menu déroulant, sélectionnez Groupes ou VM pour la source. Certains détecteurs ne disposent que de VM disponibles pour sélection.
    2. Définissez votre liste d'exclusion en effectuant votre sélection dans la liste des groupes ou des VM disponibles.
    3. Cliquez sur Appliquer.
  7. Cliquez sur Enregistrer.