Vous devez activer manuellement les détecteurs Trafic NSX suspect que vous souhaitez surveiller. Seuls les détecteurs activés seront utilisés pour surveiller les événements de trafic réseau suspects.

Utilisez les étapes suivantes pour activer un détecteur Trafic NSX suspect pris en charge afin d'effectuer une analyse du trafic réseau sur les données de trafic collectées.

Procédure

  1. Dans le navigateur, connectez-vous avec les privilèges requis à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Utilisez les étapes suivantes pour activer un détecteur Trafic NSX suspect pris en charge afin d'effectuer une analyse du trafic réseau sur les données de trafic collectées.
    Notez que les étapes suivantes s'appliquent à tous les détecteurs disponibles, à l'exception des détecteurs basés sur DNS, qui doivent être configurés manuellement avant de pouvoir être utilisés. Reportez-vous à l'étape suivante celle-ci pour plus d'informations sur la configuration des détecteurs basés sur DNS.
    1. Accédez à l'onglet Détection des menaces et Réponse > Paramètres > Définitions du détecteur NTA.
    2. Localisez un ou plusieurs détecteurs que vous souhaitez activer.
    3. Cochez la case en regard de chaque détecteur et cliquez sur Activer.
      Les détecteurs activés apparaissent avec l'état Activé dans l'onglet Définitions du détecteur NTA.
  3. Pour activer les détecteurs basés sur DNS, tels que l'algorithme de génération de domaine (DGA) et le tunneling DNS, effectuez les étapes suivantes une seule fois.
    1. Créez un profil de contexte DNS personnalisé ou utilisez un profil de contexte fourni par défaut par le système.
      Pour plus d'informations, reportez-vous à la section Profils de contexte.
    2. Créez une règle de pare-feu distribué, à l'aide de ANY dans les colonnes Sources et Destinations ; et à l'aide du profil de contexte DNS, si vous en avez créé un.
      Pour plus d'informations, reportez-vous à la section Ajouter un pare-feu distribué.
    3. Accédez à l'onglet Détection des menaces et Réponse > Paramètres > Définitions du détecteur NTA.
    4. Localisez le détecteur que vous souhaitez activer.
    5. Cochez la case en regard du détecteur et cliquez sur Activer.
      La colonne État affiche l'état Activé pour les détecteurs activés.
  4. (Facultatif) Utilisez les étapes suivantes pour désactiver le détecteur Trafic NSX suspect pris en charge afin d'arrêter l'analyse du trafic réseau.
    1. Accédez à l'onglet Détection des menaces et Réponse > Paramètres > Définitions du détecteur NTA.
    2. Localisez un ou plusieurs détecteurs à désactiver.
    3. Cochez la case en regard de chaque détecteur et cliquez sur Désactiver.
      La colonne État affiche l'état Désactivé pour les détecteurs désactivés.

Résultats

La colonne État affiche l'état Activé ou Désactivé.

Que faire ensuite

Surveillez et analysez les événements de trafic suspect détectés.