NSX 의심스러운 트래픽 기능의 목표는 NSX-T Data Center 환경에서 의심되거나 비정상적인 네트워크 트래픽 동작을 감지하는 것입니다.

작동 방식

사전 요구 사항을 충족하면 NSX 의심스러운 트래픽 기능은 NSX Intelligence 애플리케이션이 적격 NSX-T 워크로드(호스트 또는 호스트의 클러스터)에서 수집한 East-West 네트워크 트래픽 흐름 데이터에 대한 네트워크 위협 분석을 생성하기 시작할 수 있습니다. NSX Intelligence 애플리케이션은 수집된 데이터를 저장하고 30일 동안 유지합니다. NSX 의심스러운 트래픽 기능은 지원되는 감지기를 사용하여 데이터를 분석하고 의심스러운 작업에 플래그를 지정합니다. 감지된 위협 이벤트에 대한 정보는 NSX 의심스러운 트래픽 UI 페이지의 감지 이벤트 탭을 사용하여 볼 수 있습니다.

활성화된 NSX Network Detection and Response 기능은 심층 분석을 위해 의심스러운 이벤트를 VMware NSX® Advanced Threat Prevention 클라우드 서비스로 보냅니다. NSX Advanced Threat Prevention 서비스가 특정 의심스러운 이벤트가 관련되어 있다고 판단하는 경우 캠페인과 상호 연관 짓습니다. 그런 다음, 서비스는 캠페인의 이벤트를 타임라인으로 구성하고 NSX Network Detection and Response 사용자 인터페이스에서 시각화합니다. 모든 위협 이벤트는 NSX Network Detection and Response 사용자 인터페이스를 사용하여 시각화됩니다. 개별 위협 이벤트 및 캠페인은 네트워크 보안 팀이 추가로 조사할 수 있습니다. NSX Advanced Threat Prevention 클라우드 서비스는 이전에 감지된 위협에 대한 정기적인 업데이트를 가져오고 필요할 때 시각화 UI 화면을 업데이트합니다.

지원되는 감지기

다음 표에는 NSX 의심스러운 트래픽 기능이 감지된 의심스러운 네트워크 트래픽을 분류하는 데 사용하는 지원 감지기가 나열되어 있습니다. 이러한 감지기에서 생성된 감지 결과는 MITRE ATT&CK® Framework의 특정 기술 또는 전술과 연관될 수 있습니다.

이러한 감지기는 기본적으로 꺼져 있으며 NSX-T 환경에서 사용하려는 각 감지기를 명시적으로 켜야 합니다. 사전 요구 사항 및 감지기를 켜는 방법에 대한 자세한 내용은 NSX 의심스러운 트래픽 감지기 활성화 항목을 참조하십시오.

감지기 정의 탭을 사용하여 지원되는 감지기의 일부 정의에 대한 제외 목록 및 가능성 값을 관리할 수 있습니다. 자세한 내용은 NSX 의심스러운 트래픽 감지기 정의 관리 항목을 참조하십시오.

표 1. 의심스러운 트래픽을 감지하는 데 사용되는 감지기 범주

감지기 이름

설명

데이터 업로드/다운로드

호스트에 대해 비정상적으로 큰 데이터 전송(업로드/다운로드)을 감지합니다.

대상 IP 프로파일러

내부 디바이스가 다른 내부 호스트에 대한 비정상적인 연결을 수행하려는 시도를 감지합니다.

DNS 터널링

내부 디바이스에서 DNS 트래픽을 남용하여 외부 서버와 은밀하게 통신하려는 시도를 감지합니다.

DGA(도메인 생성 알고리즘)

DGA 맬웨어로 인해 발생할 수 있는 내부 호스트에서 수행한 DNS 조회의 이상 징후를 감지합니다.

수평 포트 검색

침입자가 여러 시스템에서 하나 이상의 포트 또는 서비스를 검색(스윕)하려고 하는지 감지합니다.

LLMNR/NBT-NS 악성 공격 및 릴레이

VM이 LLMNR/NBT-NS 요청에 비정상적인 응답 패턴을 표시하는지 감지합니다.

Netflow 비콘

내부 호스트에서 비콘 동작을 감지합니다.

네트워크 트래픽 삭제

너무 많은 트래픽이 분산 방화벽 규칙에서 삭제되는지를 감지합니다.

포트 프로파일러

내부 클라이언트 호스트가 비정상적인 포트에서 외부 호스트와 통신하는 경우를 감지합니다.

서버 포트 프로파일러

비정상적인 포트의 다른 내부 호스트에서 내부 호스트에 연결되는 경우를 감지합니다.

원격 서비스

텔넷, SSH 및 VNC와 같은 원격 연결에 대한 의심스러운 동작을 감지합니다.

일반적으로 사용되지 않는 포트

할당된 표준 포트/프로토콜과의 L7 애플리케이션 ID 트래픽 불일치를 감지합니다. 예를 들어 SSH 트래픽은 표준 포트 22 대신 비표준 포트에서 실행됩니다.

비정상적인 네트워크 트래픽 패턴

호스트의 시계열 프로파일에서 이상 징후를 감지합니다.

수직 포트 검색

침입자가 시스템의 열려 있는 여러 포트 또는 서비스를 공격(검색)하려고 하는지 감지합니다.