Vous pouvez configurer les paramètres d'anomalie du trafic réseau (NTA, Network Traffic Anomaly) à l'aide de la fonctionnalité Trafic NSX suspect. Vous pouvez configurer la fonctionnalité Trafic NSX suspect à partir de NSX Network Detection and Response ou de NSX Intelligence.
L'onglet Définitions du détecteur NTA de la page Paramètres affiche tous les détecteurs actuellement pris en charge par la fonctionnalité Trafic NSX suspect.
Un détecteur est désactivé par défaut. Vous devez activer manuellement chaque détecteur pour qu'il puisse commencer à surveiller les flux de trafic réseau dans votre environnement NSX. Pour plus d'informations, reportez-vous à la section Activer les détecteurs de trafic suspect.
Chaque détecteur Trafic NSX suspect répertorié dans l'onglet Définitions du détecteur NTA inclut généralement les éléments suivants.
- Nom et description du détecteur
- Bouton bascule Activer/Désactiver
- Curseur de probabilité (sensibilité)
Le curseur vous permet de définir la probabilité qu'un détecteur génère une alerte. Pour une détection qui passe sous le seuil de probabilité, le système ignore l'événement de trafic suspect. Ce curseur n’est pas inclus pour tous les détecteurs.
- Exclusions
Une exclusion de machine virtuelle est une liste statique de machines virtuelles que la fonctionnalité Trafic suspect NSX exclut de la surveillance par le détecteur. Pour une exclusion de groupe, l'exclusion d'un membre par le détecteur dépend du moment où le système exécute le détecteur. Si le groupe n'existe pas au moment où le système exécute le détecteur, le système peut générer un avertissement dans les journaux système. Si la machine virtuelle n'existe pas au moment où le système exécute le détecteur, le détecteur ignore silencieusement le paramètre d'exclusion. L'exclusion de groupe n'est pas prise en charge par tous les détecteurs Trafic NSX suspect.