[不審なトラフィック] 画面の [ディテクタの定義] タブには、NSX IntelligenceNSX Suspicious Traffic 機能で現在サポートされているすべてのディテクタが表示されます。

ディテクタはデフォルトで無効になっています。NSX 環境でネットワーク トラフィック フローのモニタリングを開始する前に、各ディテクタを手動でオンにする必要があります。詳細については、NSX Suspicious Traffic ディテクタの有効化を参照してください。

[ディテクタの定義] タブにリストされている各 NSX Suspicious Traffic ディテクタには、通常、次のものが含まれます。

  • ディテクタの名前と説明

  • オン/オフ切り替えボタン

  • 可能性(感度)スライダ

    スライダを使用すると、ディテクタがアラートを生成する可能性を設定できます。検出が可能性のしきい値を下回る場合、システムは不審なトラフィック イベントを破棄します。このスライダは、すべてのディテクタに含まれているわけではありません。

  • 適用除外

    仮想マシンの除外は、NSX Suspicious Traffic 機能がディテクタのモニタリング対象から除外する仮想マシンの静的リストです。グループを除外する場合、ディテクタがメンバーを除外するかどうかは、システムがディテクタをいつ実行するかによって異なります。システムがディテクタを実行している時点でグループが存在しない場合は、システム ログに警告が生成されることがあります。システムがディテクタを実行している時点で仮想マシンが存在しない場合、ディテクタは適用除外設定をサイレントで無視します。グループの除外は、すべての NSX Suspicious Traffic ディテクタでサポートされているわけではありません。

ディテクタ定義の一部のプロパティ値の変更

特定の NSX Suspicious Traffic ディテクタ定義のデフォルト プロパティ値の一部を変更するには、[ディテクタの定義] タブを使用します。

次の図は、編集モードのディテクタ定義の例を示しています。
編集モードの水平方向のポート スキャン ディテクタ定義カードのスクリーンショット。

前提条件

  • NSX Intelligence 3.2 以降のアクティベーションを行う必要があります。
  • 次の NSX ロールのいずれかを使用して、NSX Manager にログインする必要があります。
    • エンタープライズ管理者
    • セキュリティ管理者

手順

  1. ブラウザから、必要な権限で NSX Manager アプライアンス (https://<nsx-manager-ip-address>) にログインします。
  2. [セキュリティ] > [不審なトラフィック] > [ディテクタの定義] タブに移動します。
  3. 定義を変更するディテクタを見つけて、[編集](鉛筆アイコン)をクリックします。
  4. ディテクタをオンまたはオフにするには、切り替えボタンをクリックします。
  5. 定義にスライダが含まれている場合は、ディテクタが不審なトラフィック イベントの特定に使用する値にスライダを移動します。

    スライダの値を小さく設定すると、ディテクタが不審なトラフィック イベントを特定する可能性が高くなります。

  6. 除外リストを定義します。
    1. [フィルタの適用] をクリックし、ドロップダウン メニューで [送信元] に [グループ] または [仮想マシン] を選択します。一部のディテクタでは、選択肢が [仮想マシン] しかありません。
    2. 除外リストを、使用可能なグループまたは仮想マシンのリストから選択して定義します。
    3. [適用] をクリックします。
  7. [保存] をクリックします。