仕組み

前提条件を満たしたら、NSX Suspicious Traffic 機能は、NSX Intelligence が対象の NSX ワークロード（ホストまたはホストのクラスタ）から収集した East-West ネットワーク トラフィック フロー データに対するネットワーク脅威分析の生成を開始できます。NSX Intelligence は、収集されたデータを保存し、そのデータを 30 日間保持します。NSX Suspicious Traffic エンジンは、データを分析し、サポートされているディテクタを使用して不審なアクティビティにフラグを付けます。検出された脅威イベントに関する情報は、NSX Suspicious Traffic ユーザー インターフェイス画面の [イベント] タブを使用して表示できます。

有効にすると、NSX Network Detection and Response アプリケーションは、VMware NSX^® Advanced Threat Prevention クラウド サービスに不審なトラフィック イベントを送信して、より詳細な分析を行います。NSX Advanced Threat Prevention サービスは、特定の不審なトラフィック イベントが関連していると判断した場合、それらの不審なトラフィック イベントをキャンペーンに相関させます。次に、そのキャンペーンのイベントをタイムラインに編成し、NSX Network Detection and Response ユーザー インターフェイスで可視化します。すべての脅威イベントは、NSX Network Detection and Response ユーザー インターフェイスを使用して可視化されます。個々の脅威イベントとキャンペーンは、ネットワーク セキュリティ チームによってさらに調査できます。NSX Advanced Threat Prevention クラウド サービスは、以前に検出された脅威に対する定期的な更新を取得し、必要に応じて可視化ユーザー インターフェイス画面を更新します。

サポートされているディテクタ

次の表に、検出された不審なネットワーク トラフィックを分類するために NSX Suspicious Traffic 機能が使用する、サポートされているディテクタを示します。これらのディテクタによって生成される検出は、MITRE ATT&CK^® Framework の特定の方法または戦術に関連付けられている場合があります。

これらのディテクタはデフォルトでオフになっており、NSX 環境で使用する各ディテクタを明示的にオンにする必要があります。前提条件とディテクタを有効にする方法については、NSX Suspicious Traffic ディテクタの有効化を参照してください。

[ディテクタの定義] タブを使用して、これらのサポートされているディテクタの定義の一部の除外リストと見込み値を管理できます。詳細については、NSX Suspicious Traffic ディテクタ定義の管理を参照してください。