NSX Intelligence アプリケーション の NSX Suspicious Traffic 機能の目的は、NSX 環境内の不審またはアノマリなネットワーク トラフィックの動作を検出することです。
仕組み
前提条件を満たしたら、NSX Suspicious Traffic 機能は、NSX Intelligence が対象の NSX ワークロード(ホストまたはホストのクラスタ)から収集した East-West ネットワーク トラフィック フロー データに対するネットワーク脅威分析の生成を開始できます。NSX Intelligence は、収集されたデータを保存し、そのデータを 30 日間保持します。NSX Suspicious Traffic エンジンは、データを分析し、サポートされているディテクタを使用して不審なアクティビティにフラグを付けます。検出された脅威イベントに関する情報は、NSX Suspicious Traffic ユーザー インターフェイス画面の [イベント] タブを使用して表示できます。
有効にすると、NSX Network Detection and Response アプリケーションは、VMware NSX® Advanced Threat Prevention クラウド サービスに不審なトラフィック イベントを送信して、より詳細な分析を行います。NSX Advanced Threat Prevention サービスは、特定の不審なトラフィック イベントが関連していると判断した場合、それらの不審なトラフィック イベントをキャンペーンに相関させます。次に、そのキャンペーンのイベントをタイムラインに編成し、NSX Network Detection and Response ユーザー インターフェイスで可視化します。すべての脅威イベントは、NSX Network Detection and Response ユーザー インターフェイスを使用して可視化されます。個々の脅威イベントとキャンペーンは、ネットワーク セキュリティ チームによってさらに調査できます。NSX Advanced Threat Prevention クラウド サービスは、以前に検出された脅威に対する定期的な更新を取得し、必要に応じて可視化ユーザー インターフェイス画面を更新します。
サポートされているディテクタ
次の表に、検出された不審なネットワーク トラフィックを分類するために NSX Suspicious Traffic 機能が使用する、サポートされているディテクタを示します。これらのディテクタによって生成される検出は、MITRE ATT&CK® Framework の特定の方法または戦術に関連付けられている場合があります。
これらのディテクタはデフォルトでオフになっており、NSX 環境で使用する各ディテクタを明示的にオンにする必要があります。前提条件とディテクタを有効にする方法については、NSX Suspicious Traffic ディテクタの有効化を参照してください。
[ディテクタの定義] タブを使用して、これらのサポートされているディテクタの定義の一部の除外リストと見込み値を管理できます。詳細については、NSX Suspicious Traffic ディテクタ定義の管理を参照してください。
ディテクタ名 |
説明 |
---|---|
データのアップロード/ダウンロード |
ホストの異常に大きいデータ転送(アップロード/ダウンロード)を検出します。 |
宛先 IP プロファイラ |
内部デバイスから他の内部ホストへの異常な接続を検出します。 |
DNS トンネリング |
内部デバイスが DNS トラフィックを悪用し、外部サーバに秘かに通信していることを検出します。 |
ドメイン生成アルゴリズム (DGA) |
内部ホストから実行された DNS ルックアップのアノマリ(DGA マルウェアによって実行されている可能性)を検出します。 |
水平方向のポート スキャン |
複数のシステムで 1 つ以上のポートまたはサービスのスキャン(スウィーピング)を検出します。 |
LLMNR/NBT-NS ポイズニングとリレー |
仮想マシンが LLMNR/NBT-NS 要求に対して異常な応答パターンを示しているかどうかを検出します。 |
NetFlow ビーコン |
内部ホストからのビーコンの動作を検出します。 |
ネットワーク トラフィックのドロップ |
分散ファイアウォール ルールにより、異常な量のトラフィックがドロップされているかどうかを検出します。 |
ポート プロファイラ |
内部クライアント ホストが通常以外のポートで外部ホストと通信を行っていることを検出します。 |
サーバ ポート プロファイラ |
内部ホストが通常以外のポートで別の内部ホストに接続していることを検出します。 |
リモート サービス |
Telnet、SSH、VNC などのリモート接続の不審な動作を検出します。 |
一般に使用されていないポート |
標準で割り当てられたポート/プロトコルと L7 アプリケーション ID トラフィックの不一致を検出します。たとえば、SSH トラフィックが標準ポート 22 ではなく非標準ポートで実行されている場合などです。 |
異常なネットワーク トラフィック パターン |
ホストの時系列プロファイルのアノマリを検出します。 |
垂直方向のポート スキャン |
1 つシステムの開いている複数のポートまたは複数のサービスに対する攻撃(スキャン)を検出します。 |