Panoramica di NSX Network Detection and Response

L'obiettivo principale della funzionalità NSX Network Detection and Response è raccogliere le attività anomale principali o gli eventi dannosi da ogni origine degli eventi attivata nell'ambiente di NSX-T Data Center.

Eventi raccolti

NSX Network Detection and Response invia tutti gli eventi raccolti che richiedono ulteriori analisi al servizio cloud VMware NSX^® Advanced Threat Prevention per essere correlati e visualizzati. È possibile visualizzare e gestire i risultati dell'analisi utilizzando l'interfaccia utente di NSX Network Detection and Response.

NSX Network Detection and Response mette in relazione gli eventi che ritiene siano correlati nelle campagne. Organizza gli eventi di minaccia in una campagna in una sequenza temporale che consente a un analista della sicurezza di visualizzare e valutare utilizzando l'interfaccia utente di NSX Network Detection and Response.

Tipi di evento e origini eventi

Nella tabella seguente sono elencati i tipi di eventi che NSX Network Detection and Response può raccogliere e le origini che generano tali eventi. Per consentire a un'origine eventi di inviare gli eventi a NSX Network Detection and Response, è necessario attivare la funzionalità NSX-T Data Center corrispondente menzionata per il tipo di evento.

Tipo di evento	Origine eventi
Eventi file dannosi	Appliance Edge, se si attiva la funzionalità Prevenzione malware VMware NSX^®.
Eventi IDS	IDS distribuito, se si attiva la funzionalità Distributed NSX IDS/IPS.
Eventi di anomalia del traffico di rete	VMware NSX^® Intelligence™, se attivato, e se si attivano i rilevatori di Traffico sospetto NSX.

Importante: Per massimizzare la funzionalità NSX Network Detection and Response, attivare una o più funzionalità NSX-T Data Center di cui consuma gli eventi. Sebbene sia possibile attivare la funzionalità NSX Network Detection and Response autonomamente, se non si attiva nessuna funzionalità NSX-T Data Center menzionata nella tabella precedente, NSX Network Detection and Response non ha alcun evento da analizzare e, pertanto, non fornisce nessuno dei vantaggi che ha da offrire.

Attivazione e utilizzo della funzionalità

Prima di poter iniziare a utilizzare la funzionalità NSX Network Detection and Response è necessario soddisfare specifici requisiti di licenza e software ed è necessario attivarla. Per iniziare a utilizzare NSX Network Detection and Response per gestire i diversi tipi di eventi che è possibile monitorare nell'ambiente di NSX-T Data Center, è inoltre necessario attivare e configurare le funzionalità di NSX-T Data Center corrispondenti.

Per ulteriori informazioni sui passaggi successivi, vedere Workflow di attivazione e utilizzo di NSX Network Detection and Response.

Attivazione di altre funzionalità di NSX

Per informazioni su come attivare e configurare le funzionalità NSX-T Data Center i cui eventi di rilevamento sono consumati da NSX Network Detection and Response, fare riferimento alla tabella seguente.

Funzionalità NSX-T Data Center da attivare	Nome e posizione della documentazione	Titolo argomento
NSX IDS/IPS	Guida all'amministrazione di NSX-T Data Center per la versione 3.2 o successiva.	Guida introduttiva a NSX IDS/IPS e Prevenzione malware NSX
Prevenzione malware NSX	Guida all'amministrazione di NSX-T Data Center per la versione 3.2 o successiva.	Attivazione di Prevenzione malware NSX
NSX Intelligence	Attivazione e aggiornamento di VMware NSX Intelligence per la versione 3.2 o successiva fornita con il set della documentazione di VMware NSX Intelligence.	Attivazione di NSX Intelligence
Traffico sospetto NSX	Utilizzo e gestione di VMware NSX Intelligence per la versione 3.2 o successiva fornita con il set della documentazione di VMware NSX Intelligence.	Attivazione dei rilevatori di Traffico sospetto NSX