NSX Network Detection and Response aggrega i rilevamenti se soddisfano determinate condizioni.
Un evento di rilevamento non corrisponde a una singola istanza di un'attività dannosa rilevata in un momento specifico. Aggrega invece attività simili che riguardano lo stesso carico di lavoro in un periodo fino a 24 ore. Quando vengono ricevuti i dati di un nuovo rilevamento dalla pipeline di elaborazione di NSX Network Detection and Response, vengono confrontati con gli eventi di rilevamento esistenti per stabilire se il rilevamento può essere aggregato con un evento di rilevamento esistente. Se può essere aggregato, viene aggiunto a tale evento di rilevamento esistente. In caso contrario, viene creato un nuovo evento di rilevamento. Questa aggregazione può verificarsi quando vengono soddisfatte determinate condizioni.
Quando si considerano i rilevamenti per l'aggregazione in un singolo evento di rilevamento, è necessario che vengano soddisfatte le condizioni seguenti:
- L'evento di rilevamento complessivo non dura più di 24 ore.
- Gli eventi di rilevamento riguardano lo stesso carico di lavoro:
- Stesso UUID della macchina virtuale (se disponibile)
- Stesso indirizzo IP (se disponibile)
- Il tipo di evento è lo stesso.
-
Lo stesso tipo di attività è stato rilevato nello stesso modo.
Ad esempio, per i rilevamenti IDS, significa che deve essere presente la stessa firma.