La scheda Definizioni rilevatori nella pagina Traffico sospetto mostra tutti i rilevatori attualmente supportati dalla funzionalitàTraffico sospetto NSX in NSX Intelligence.

Un rilevatore viene disattivato per impostazione predefinita. È necessario attivare manualmente ogni rilevatore affinché possa iniziare a monitorare i flussi del traffico di rete nell'ambiente NSX. Per dettagli, consultare Attivazione dei rilevatori di Traffico sospetto NSX.

Ogni rilevatore Traffico sospetto NSX elencato nella scheda Definizioni rilevatori include in genere quanto segue.

  • Nome e descrizione del rilevatore

  • Pulsante di attivazione/disattivazione

  • Dispositivo di scorrimento di probabilità (riservatezza)

    Il dispositivo di scorrimento consente di impostare la probabilità che un rilevatore generi un avviso. Se il rilevamento scende al di sotto della soglia di probabilità, il sistema ignora l'evento di traffico sospetto. Questo dispositivo di scorrimento non è incluso per tutti i rilevatori.

  • Esclusioni

    Un'esclusione di una macchina virtuale è un elenco statico di macchine virtuali che la funzionalità Traffico sospetto NSX esclude dal monitoraggio da parte del rilevatore. Per l'esclusione dei gruppi, l'esclusione di un membro da parte del rilevatore dipende dall'esecuzione di quest'ultimo da parte del sistema. Se il gruppo non esiste, nel momento in cui esegue il rilevatore, il sistema potrebbe generare un avviso nei registri di sistema. Se la macchina virtuale non esiste nel momento in cui il sistema esegue il rilevatore, quest'ultimo ignora silenziosamente l'impostazione di esclusione. L'esclusione dei gruppi non è supportata da tutti i rilevatori Traffico sospetto NSX.

Modifica di alcuni valori della proprietà di una definizione rilevatore

Per modificare alcuni dei valori predefiniti della proprietà per selezionare le definizioni dei rilevatori Traffico sospetto NSX, utilizzare la scheda Definizioni rilevatori definizioni.

L'immagine seguente mostra un esempio di definizione rilevatore in modalità di modifica.
Schermata della scheda di definizione del rilevatore Scansione porte orizzontale in modalità di modifica.

Prerequisiti

  • È necessario attivare NSX Intelligence 3.2 o versione successiva.
  • È necessario accedere a NSX Manager utilizzando uno dei seguenti ruoli di NSX.
    • Amministratore aziendale
    • Amministratore della sicurezza

Procedura

  1. Dal browser accedere con i privilegi necessari a un'appliance NSX Manager all'indirizzo https://<nsx-manager-ip-address>.
  2. Passare alla scheda Sicurezza > Traffico sospetto > Definizioni rilevatori.
  3. Individuare il rilevatore di cui si desidera modificare la definizione e fare clic su Modifica (icona a matita).
  4. Per attivare o disattivare il rilevatore, fare clic sul pulsante di attivazione.
  5. Se nella definizione è incluso un dispositivo di scorrimento, spostare quest'ultimo sul valore desiderato utilizzato dal rilevatore per identificare un evento di traffico sospetto.

    Se si imposta il dispositivo di scorrimento su un valore inferiore, è più probabile che il rilevatore identifichi un evento di traffico sospetto.

  6. Definire l'Elenco di esclusione.
    1. Fare clic su Applica filtro e nel menu a discesa selezionare Gruppi o Macchine virtuali per l'Origine. Alcuni rilevatori dispongono di macchine virtuali disponibili solo per la selezione.
    2. Definire l'elenco di esclusione selezionando dall'elenco i gruppi o le macchine virtuali disponibili.
    3. Fare clic su Applica.
  7. Fare clic su Salva.