L'objectif principal de la fonctionnalité NSX Network Detection and Response est de collecter des activités anormales clés ou des événements malveillants à partir de chaque source d'événement activée dans votre environnement NSX.

Événements collectés

NSX Network Detection and Response soumet tous les événements collectés qui nécessitent une analyse approfondie au service de cloud VMware NSX® Advanced Threat Prevention à des fins de corrélation et de visualisation. Vous pouvez afficher et gérer les résultats d'analyse à l'aide de l'interface utilisateur de NSX Network Detection and Response.

NSX Network Detection and Response met en corrélation les événements qu'il détermine comme étant liés à des campagnes. Il organise des événements de menace dans une campagne en une chronologie disponible pour qu'un analyste en sécurité les affiche et les trie à l'aide de l'interface utilisateur de NSX Network Detection and Response.

Types et sources d’événements

Le tableau suivant répertorie les types d'événements que NSX Network Detection and Response peut collecter et les sources qui génèrent ces événements. Pour que l'une des sources d'événements envoie les événements à NSX Network Detection and Response, vous devez activer la fonctionnalité NSX correspondante mentionnée pour le type d'événement.
Type d'événement Source des événements
Événements de fichiers malveillants Dispositif Edge, si vous activez la fonctionnalité Protection contre les programmes malveillants VMware NSX®.
Événements IDS IDS distribué, si vous activez la fonctionnalité Distributed NSX IDS/IPS.
Événements d’anomalie de trafic réseau VMware NSX® Intelligence™, si activé, et si vous activez les détecteurs Trafic suspect NSX.
Important : Pour optimiser la fonctionnalité NSX Network Detection and Response, activez une ou plusieurs des fonctionnalités NSX dont elle utilise les événements. Bien que vous puissiez activer la fonctionnalité NSX Network Detection and Response seule, si vous n'activez aucune des fonctionnalités NSX mentionnées dans le tableau précédent, NSX Network Detection and Response ne dispose d'aucun événement à analyser et, par conséquent, ne peut offrir aucun des avantages qu'elle a à offrir.

Activation et utilisation de la fonctionnalité

Avant de pouvoir commencer à utiliser la fonctionnalité NSX Network Detection and Response, vous devez respecter les exigences de licence et matérielles spécifiques et vous devez activer la fonctionnalité. Pour commencer à utiliser NSX Network Detection and Response pour gérer les différents types d'événements que vous pouvez surveiller dans votre environnement NSX, vous devez également activer et configurer les fonctionnalités NSX correspondantes.

Pour plus d'informations sur les étapes suivantes, consultez Workflow d'activation et d'utilisation de NSX Network Detection and Response.

Activation d’autres fonctionnalités NSX

Pour plus d'informations sur l'activation et la configuration des fonctionnalités NSX dont NSX Network Detection and Response consomme des événements de détection, reportez-vous au tableau suivant.
Fonctionnalité NSX à activer Nom et emplacement de la documentation Titre de la rubrique
NSX IDS/IPS Guide d'administration de NSX pour la version 3.2 ou version ultérieure. Démarrage avec NSX IDS/IPS et Protection contre les programmes malveillants NSX
Protection contre les programmes malveillants NSX Guide d'administration de NSX pour la version 3.2 ou version ultérieure. Activer Protection contre les programmes malveillants NSX
NSX Intelligence Activation et mise à niveau de VMware NSX Intelligence pour la version 3.2 ou ultérieure fournie avec la documentation de VMware NSX Intelligence. Activer NSX Intelligence
Trafic suspect NSX Utilisation et gestion de VMware NSX Intelligence pour la version 3.2 ou ultérieure fournie avec la documentation de VMware NSX Intelligence. Activer les détecteurs Trafic suspect NSX