È possibile configurare le impostazioni per l'anomalia del traffico di rete (NTA) utilizzando la funzionalità Traffico sospetto NSX. È possibile configurare la funzionalità Traffico sospetto NSX da NSX Network Detection and Response o NSX Intelligence.
La scheda Definizioni rilevatori NTA nella pagina Impostazioni mostra tutti i rilevatori attualmente supportati dalla funzionalità Traffico sospetto NSX.
Un rilevatore viene disattivato per impostazione predefinita. È necessario attivare manualmente in data ogni rilevatore affinché possa iniziare a monitorare i flussi del traffico di rete nell'ambiente NSX. Per informazioni dettagliate, vedere Attivazione dei rilevatori di traffico sospetto.
Il rilevatore Traffico sospetto NSX elencato nella scheda Definizioni rilevatori NTA include in genere quanto segue.
- Nome e descrizione del rilevatore
- Pulsante di attivazione/disattivazione
- Dispositivo di scorrimento di probabilità (riservatezza)
Il dispositivo di scorrimento consente di impostare la probabilità che un rilevatore generi un avviso. Se il rilevamento scende al di sotto della soglia di probabilità, il sistema ignora l'evento di traffico sospetto. Questo dispositivo di scorrimento non è incluso per tutti i rilevatori.
- Esclusioni
Un'esclusione di una macchina virtuale è un elenco statico di macchine virtuali che la funzionalità Traffico sospetto NSX esclude dal monitoraggio da parte del rilevatore. Per l'esclusione dei gruppi, l'esclusione di un membro da parte del rilevatore dipende dall'esecuzione di quest'ultimo da parte del sistema. Se il gruppo non esiste, nel momento in cui esegue il rilevatore, il sistema potrebbe generare un avviso nei registri di sistema. Se la macchina virtuale non esiste nel momento in cui il sistema esegue il rilevatore, quest'ultimo ignora silenziosamente l'impostazione di esclusione. L'esclusione dei gruppi non è supportata da tutti i rilevatori Traffico sospetto NSX.