L'objectif de la fonctionnalité Trafic suspect NSX dans l'application NSX Intelligence est de détecter les comportements du trafic réseau suspect ou anormal dans votre environnement NSX.
Fonctionnement
Une fois que vous avez satisfait les conditions préalables, la fonctionnalité Trafic suspect NSX peut commencer à générer l'analyse des menaces réseau sur les données de flux de trafic réseau est-ouest que NSX Intelligence a collectées à partir de vos charges de travail NSX éligibles (hôtes ou clusters d'hôtes). NSX Intelligence stocke les données collectées et les conserve pendant 30 jours. Le moteur Trafic suspect NSX analyse les données et marque les activités suspectes à l'aide des détecteurs pris en charge. Vous pouvez afficher les informations sur les événements de menace détectés à l'aide de l'onglet Événements de la page de l'interface utilisateur de Trafic suspect NSX.
Si cette option est activée, l'application NSX Network Detection and Response envoie les événements de trafic suspect au service de cloud VMware NSX® Advanced Threat Prevention pour une analyse plus approfondie. Si le service NSX Advanced Threat Prevention détermine que certains événements de trafic suspect sont liés, il les met en corrélation dans une campagne. Le service organise ensuite les événements de cette campagne dans une chronologie et les visualise sur l'interface utilisateur NSX Network Detection and Response. Tous les événements de menace sont visualisés à l'aide de l'interface utilisateur NSX Network Detection and Response. Les événements et les campagnes de menace individuels peuvent faire l'objet d'un examen plus poussé par votre équipe de sécurité réseau. Le service de cloud NSX Advanced Threat Prevention extrait les mises à jour périodiques sur les menaces précédemment détectées et met à jour les écrans de l'interface utilisateur de visualisation si nécessaire.
Détecteurs pris en charge
Le tableau suivant répertorie les détecteurs pris en charge que la fonctionnalité Trafic suspect NSX utilise pour classer le trafic réseau suspect détecté. Les détections générées par ces détecteurs peuvent être associées à des techniques ou des tactiques spécifiques dans le Framework MITRE ATT&CK®.
Ces détecteurs sont désactivés par défaut et vous devez explicitement activer chaque détecteur que vous souhaitez utiliser dans votre environnement NSX. Reportez-vous à la section Activer les détecteurs Trafic suspect NSX pour plus de détails sur les conditions préalables et comment activer les détecteurs.
Vous pouvez gérer les listes d'exclusion et la valeur de probabilité de certaines définitions de ces détecteurs pris en charge à l'aide de l'onglet Définitions de détecteur. Reportez-vous à Gestion des définitions du détecteur de Trafic suspect NSX pour plus de détails.
Nom du détecteur |
Description |
|---|---|
Téléchargement/chargement de données |
Détectez des transferts de données anormalement importants (téléchargements/chargements) pour un hôte. |
Profileur d'adresse IP de destination |
Détecter les tentatives des périphériques internes d'effectuer des connexions inhabituelles vers d'autres hôtes internes. |
Tunneling DNS |
Détecter les tentatives d'un terminal interne de communiquer en toute sécurité avec un serveur externe en utilisant le trafic DNS. |
Algorithme de génération de domaine (DGA) |
Détecter les anomalies dans les recherche DNS effectuées par un hôte interne qui peuvent être causées par un logiciel malveillant DGA. |
Analyse du port horizontal |
Détecter et alerter si un intrus tente d'analyser un ou plusieurs ports ou services sur plusieurs systèmes (balayage). |
Attaque par positionnement et relais LLMNR/NBT-NS |
Détecter si une machine virtuelle affiche un modèle de réponse inhabituel aux demandes LLMNR/NBT-NS. |
Balisage NetFlow |
Détecter un comportement de contrôle à partir d'un hôte interne. |
Abandon du trafic réseau |
Détecter si une quantité anormalement élevée de trafic est abandonnée par une règle de pare-feu distribué. |
Profileur de port |
Détecter lorsqu'un hôte client interne communique avec un hôte externe sur un port inhabituel. |
Profileur de port de serveur |
Détecter lorsqu'un hôte interne est connecté à un autre hôte interne sur un port inhabituel. |
Services distants |
Détecter un comportement suspect pour les connexions à distance, telles que Telnet, SSH et VNC. |
Port rarement utilisé |
Détecter une incompatibilité de trafic d'ID d'application L7 avec le port/protocole standard attribué. Par exemple, le trafic SSH s’exécute sur un port non standard plutôt que sur le port 22 standard. |
Modèle de trafic réseau inhabituel |
Détecter les anomalies dans le profil de séries chronologiques d’un hôte. |
Analyse du port vertical |
Détecter si un intrus tente d'attaquer plusieurs ports ou services ouverts d'un système (analyse). |
