L'obiettivo della funzionalità Traffico sospetto NSX nell'applicazione NSX Intelligence è rilevare comportamenti del traffico di rete sospetti o anomali nell'ambiente di NSX.
Come funziona
Dopo aver soddisfatto i prerequisiti, la funzionalità Traffico sospetto NSX può iniziare a generare analisi delle minacce di rete nei dati del flusso del traffico di rete est-ovest che NSX Intelligence ha raccolto dai carichi di lavoro di NSX idonei (host o cluster di host). NSX Intelligence archivia i dati raccolti e li conserva per 30 giorni. Il motore di Traffico sospetto NSX analizza i dati e contrassegna le attività sospette utilizzando i rilevatori supportati. È possibile visualizzare le informazioni sugli eventi di minaccia rilevati utilizzando la scheda Eventi della pagina dell'interfaccia utente di Traffico sospetto NSX.
Se attivata, l'applicazione NSX Network Detection and Response invia gli eventi di traffico sospetto al servizio cloud di VMware NSX® Advanced Threat Prevention per un'analisi più approfondita. Se il servizio NSX Advanced Threat Prevention determina che alcuni eventi di traffico sospetto siano correlati, mette in relazione tali eventi sospetti in una campagna. Quindi, il servizio organizza gli eventi in tale campagna in una sequenza temporale e lo visualizza nell'interfaccia utente di NSX Network Detection and Response. Tutti gli eventi di minaccia sono visualizzati utilizzando l'interfaccia utente di NSX Network Detection and Response. Gli eventi di minaccia individuali e le campagne possono essere esaminati dal team di sicurezza di rete. Il servizio cloud di NSX Advanced Threat Prevention recupera gli aggiornamenti periodici sulle minacce rilevate in precedenza e aggiorna le schermate dell'interfaccia utente di visualizzazione quando necessario.
Rilevatori supportati
Nella tabella seguente sono elencati i rilevatori supportati che la funzionalità Traffico sospetto NSX utilizza per classificare il traffico di rete sospetto rilevato. I rilevamenti generati da questi rilevatori potrebbero essere associati a tecniche o tattiche specifiche nel framework MITRE ATT&CK®.
Questi rilevatori sono disattivati per impostazione predefinita ed è necessario attivare esplicitamente ogni rilevatore che si desidera utilizzare nell'ambiente NSX. Vedere Attivazione dei rilevatori di Traffico sospetto NSX per ulteriori dettagli sui prerequisiti e su come attivare i rilevatori.
È possibile gestire gli elenchi di esclusione e il valore di probabilità per alcune delle definizioni di questi rilevatori supportati utilizzando la scheda Definizioni rilevatori. Per dettagli, consultare Gestione delle definizioni rilevatori di Traffico sospetto NSX.
Nome del rilevatore |
Descrizione |
|---|---|
Caricamento/scaricamento dati |
Rileva i trasferimenti di dati insolitamente grandi (caricamenti/download) per un host. |
Profiler IP di destinazione |
Rileva i tentativi effettuati da dispositivi interni di eseguire connessioni insolite verso gli altri host interni. |
Tunneling DNS |
Rileva i tentativi effettuati da dispositivo interno di comunicare in maniera segreta con un server esterno sfruttando traffico DNS. |
Algoritmo di generazione dominio (DGA) |
Rileva anomalie nelle ricerche DNS eseguite da un host interno che potrebbero essere causate da malware DGA. |
Scansione porte orizzontale |
Rileva se un intruso tenta di eseguire la scansione di una o più porte o servizi in più sistemi (sweeping). |
Poisoning e Relay LLMNR/NBT-NS |
Rileva se una macchina virtuale mostra un modello di risposta inusuale alle richieste LLMNR/NBT-NS. |
Beaconing flusso di rete |
Rileva il comportamento di beaconing da un host interno. |
Eliminazione traffico di rete |
Rileva se la quantità di traffico insolitamente elevata viene eliminata dalla regola del firewall distribuito. |
Profiler porta |
Rileva quando un host client interno comunica con un host esterno su una porta insolita. |
Profiler porta server |
Rileva quando un host interno è connesso a un altro host interno su una porta insolita. |
Servizi remoti |
Rileva il comportamento sospetto per connessioni remote quali telnet, SSH e VNC. |
Porta utilizzata non comune |
Rileva la mancata corrispondenza del traffico dell'ID applicazione L7 con la porta/protocollo assegnato standard. Ad esempio, il traffico SSH viene eseguito su una porta non standard anziché sulla porta 22 standard. |
Modello traffico di rete inusuale |
Rileva anomalie nel profilo delle serie temporali di un host. |
Scansione porte verticale |
Rileva se un intruso tenta di attaccare più porte aperte o servizi di un singolo sistema (scansione). |
