NSX 환경에서 위협 또는 의심스러운 네트워크 트래픽 데이터를 감지하려면 먼저 NSX Intelligence에서 사용하려는 NSX 의심스러운 트래픽 감지기를 수동으로 켜야 합니다. 활성화된 감지기만 의심스러운 네트워크 트래픽 이벤트를 모니터링하는 데 사용됩니다.

사전 요구 사항

프로시저

  1. 브라우저에서 필요한 권한으로 https://<nsx-manager-ip-address>에서 NSX Manager 장치에 로그인합니다.
  2. 다음 단계를 사용하여 지원되는 NSX 의심스러운 트래픽 감지기를 켜서 수집된 트래픽 데이터에 대한 네트워크 트래픽 분석을 수행합니다.

    다음 단계는 DNS 기반 감지기를 제외하고 사용 가능한 모든 감지기에 대한 것이며, 이러한 감지기를 사용하려면 먼저 수동으로 구성해야 합니다. DNS 기반 감지기 구성에 대한 자세한 내용은 다음 단계를 참조하십시오.

    1. 보안 > 의심스러운 트래픽 > 감지기 정의 탭으로 이동합니다.
    2. 활성화할 감지기를 찾고 편집(연필 아이콘)을 클릭합니다.
    3. 다음 이미지에 표시된 것처럼 확장된 행의 맨 오른쪽에 있는 토글 스위치를 찾은 후 토글 스위치를 클릭하여 감지기를 켭니다.

      의심스러운 트래픽 UI의 감지기 정의 탭 스크린샷.

    4. 저장을 클릭합니다.
  3. DGA(도메인 생성 알고리즘) 및 DNS 터널링과 같은 DNS 기반 감지기를 설정하려면 다음 단계를 한 번만 수행합니다.
    1. 사용자 지정 DNS 컨텍스트 프로파일을 생성하거나 기본 시스템 제공 컨텍스트 프로파일을 사용합니다.

      NSX 버전 3.2 이상에 대해 VMware NSX 설명서 세트와 함께 제공되는 "NSX 관리 가이드" 에서 컨텍스트 프로파일을 추가하는 방법에 대한 자세한 내용을 참조하십시오.

    2. 소스대상 열에서 임의를 사용하고 DNS 컨텍스트 프로파일을 생성한 경우 이 프로파일을 사용하여 분산 방화벽 규칙을 생성합니다.

      NSX 버전 3.2 이상에 대해 VMware NSX 설명서 세트와 함께 제공되는 "NSX 관리 가이드" 에서 분산 방화벽 규칙을 추가하는 방법에 대한 자세한 내용을 참조하십시오.

    3. 보안 > 의심스러운 트래픽 > 감지기 정의 탭으로 이동합니다.
    4. 활성화할 DNS 기반 감지기를 찾고 편집(연필 아이콘)을 클릭합니다.
    5. 확장된 행의 맨 오른쪽에서 해당 DNS 기반 감지기에 대한 토글 스위치를 찾습니다. 감지기를 켜려면 토글 스위치 켜기를 클릭합니다.
    6. 저장을 클릭합니다.

결과

활성화된 감지기에 대한 토글 스위치는 감지기 정의 탭에 켜짐으로 표시됩니다.

다음에 수행할 작업

감지된 의심스러운 트래픽 이벤트를 관리합니다. 자세한 내용은 의심스러운 트래픽 이벤트 분석 항목을 참조하십시오.