NSX 環境で脅威または不審なネットワーク トラフィック データを検出するには、NSX Intelligence で使用する NSX Suspicious Traffic ディテクタを手動でオンにする必要があります。不審なネットワーク トラフィック イベントのモニタリングには、有効化されたディテクタのみが使用されます。

前提条件

手順

  1. ブラウザから、必要な権限で NSX Manager アプライアンス (https://<nsx-manager-ip-address>) にログインします。
  2. 次の手順を使用して、サポートされている NSX Suspicious Traffic ディテクタをオンにして、収集されたトラフィック データのネットワーク トラフィック分析を実行します。

    次の手順は、DNS ベースのディテクタを除き、使用可能なすべてのディテクタを対象としていることに注意してください。DNS ベースのディテクタは、使用する前に手動で構成する必要があります。DNS ベースのディテクタの構成については、この次の手順を参照してください。

    1. [セキュリティ] > [不審なトラフィック] > [ディテクタの定義] タブに移動します。
    2. 有効にするディテクタを見つけて、[編集](鉛筆アイコン)をクリックします。
    3. 次の図に示すように、展開された行の右端にある切り替えスイッチを見つけ、それをクリックしてディテクタをオンにします。

      [不審なトラフィック] ユーザー インターフェイスにある [ディテクタの定義] タブのスクリーンショット。

    4. [保存] をクリックします。
  3. ドメイン生成アルゴリズム (DGA) や DNS トンネリングなどの DNS ベースのディテクタをオンにするには、次の手順を 1 回のみ実行します。
    1. カスタム DNS コンテキスト プロファイルを作成するか、デフォルトのシステム提供のコンテキスト プロファイルを使用します。

      コンテキスト プロファイルの追加の詳細については、NSX バージョン 3.2 以降向けに設定された「VMware NSX のドキュメント」とともに提供される『NSX 管理ガイド』を参照してください。

    2. [送信元] および [宛先] 列で 任意 を使用し、DNS コンテキスト プロファイル(作成した場合)を使用して、分散ファイアウォール ルールを作成します。

      分散ファイアウォール ルールの追加の詳細については、NSX バージョン 3.2 以降向けに設定された「VMware NSX のドキュメント」とともに提供される『NSX 管理ガイド』を参照してください。

    3. [セキュリティ] > [不審なトラフィック] > [ディテクタの定義] タブに移動します。
    4. 有効にする DNS ベースのディテクタを見つけて、[編集](鉛筆アイコン)をクリックします。
    5. 展開された行の右端で、その DNS ベースのディテクタの切り替えスイッチを見つけます。ディテクタをオンにするには、切り替えスイッチをクリックします。
    6. [保存] をクリックします。

結果

有効化されたディテクタの切り替えスイッチは、[ディテクタの定義] タブに 有効 と表示されます。

次のタスク

検出された不審なトラフィック イベントを管理します。詳細については、不審なトラフィック イベントの分析を参照してください。