NSX Network Detection and Response 機能の主な目的は、NSX 環境で有効になっているすべてのイベント ソースから、キーとなる異常なアクティビティや悪意のあるイベントを収集することです。

収集されたイベント

NSX Network Detection and Response は、さらに分析が必要な収集イベントを VMware NSX® Advanced Threat Prevention クラウド サービスに送信し、相関分析と可視化を行います。この分析結果は、NSX Network Detection and Response ユーザー インターフェイス (UI) に表示して管理できます。

NSX Network Detection and Response は、キャンペーンとの関連性が特定されたイベントを関連付けて分析します。キャンペーン内の脅威イベントは、セキュリティ アナリストが NSX Network Detection and Response ユーザー インターフェイスに表示してトリアージできるように、タイムラインに編成されています。

イベント タイプとイベント ソース

次の表に、 NSX Network Detection and Response で収集できるイベント タイプと、それらのイベントを生成するソースを示します。イベント ソースのいずれかがイベントを NSX Network Detection and Response に送信するには、イベント タイプに対応する NSX 機能を有効にする必要があります。
イベント タイプ イベント ソース
悪意のあるファイル イベント Edge アプライアンス(VMware NSX® マルウェア防止 機能を有効にした場合)。
IDS イベント 分散 IDS(分散NSX IDS/IPS 機能を有効にした場合)。
ネットワーク トラフィックのアノマリ イベント VMware NSX® Intelligence™(有効になっている場合、および NSX Suspicious Traffic ディテクタをオンにした場合)。
重要: NSX Network Detection and Response 機能を最大限利用するには、イベントを使用している 1 つ以上の NSX 機能を有効にします。 NSX Network Detection and Response 機能は単独で有効にできますが、前の表に記載されている NSX 機能のいずれかを有効にしないと、分析するイベントが NSX Network Detection and Response に送信されないため、この機能が持つ本来のメリットを得ることができません。

機能の有効化と使用

NSX Network Detection and Response 機能の使用を開始する前に、特定のライセンス要件とソフトウェア要件を満たし、機能を有効にする必要があります。NSX Network Detection and Response を使用して、NSX 環境でモニターできる様々なイベント タイプを管理するには、対応する NSX 機能も有効にして構成する必要があります。

次の手順の詳細については、NSX Network Detection and Response の有効化と使用のワークフローを参照してください。

その他の NSX 機能の有効化

NSX Network Detection and Response によって検出イベントが使用される NSX 機能を有効にして構成する方法については、次の表を参照してください。
有効にする NSX 機能 ドキュメント名と場所 トピック タイトル
NSX IDS/IPS バージョン 3.2 以降の『NSX 管理ガイド』。 NSX IDS/IPS と NSX マルウェア防止の開始
NSX マルウェア防止 バージョン 3.2 以降の『NSX 管理ガイド』。 NSX マルウェア防止の有効化
NSX Intelligence VMware NSX Intelligence ドキュメント セットに付属のバージョン 3.2 以降の『VMware NSX Intelligence の有効化とアップグレード』。 NSX Intelligence の有効化
NSX Suspicious Traffic VMware NSX Intelligence ドキュメント セットに付属のバージョン 3.2 以降の『VMware NSX Intelligence の使用と管理』。 NSX Suspicious Traffic ディテクタの有効化