NSX Network Detection and Response agrège les détections si elles répondent à certaines conditions.
Un événement de détection ne correspond pas à une instance unique d'activité malveillante détectée à un moment précis. Au lieu de cela, il agrège les activités similaires affectant la même charge de travail au cours d'une période maximale de 24 heures. Lorsque de nouvelles données de détection sont reçues par le pipeline de traitement de NSX Network Detection and Response, elles sont comparées aux événements de détection existants pour déterminer si elles peuvent être agrégées avec un événement de détection existant. Si tel est le cas, elles sont ajoutées à cet événement de détection existant. Sinon, un nouvel événement de détection est créé. Cette agrégation peut se produire lorsque certaines conditions sont remplies.
Lorsque vous envisagez d'agréger des détections dans un événement de détection unique, les conditions suivantes doivent être remplies :
- L'événement de détection global ne dure pas plus de 24 heures.
- La même charge de travail est affectée :
- Même UUID de VM (le cas échéant)
- Même adresse IP (le cas échéant)
- Le type d'événement est le même.
-
Le même type d'activité a été détecté de la même manière.
Par exemple, pour les détections IDS, cela signifie que la même signature a été mise en correspondance.