의심스러운 트래픽 페이지의 감지기 정의 탭에는 현재 NSX IntelligenceNSX 의심스러운 트래픽 기능에서 지원하는 모든 감지기가 표시됩니다.

감지기가 기본적으로 꺼져 있습니다. NSX 환경에서 네트워크 트래픽 흐름 모니터링을 시작하려면 먼저 각 감지기를 수동으로 켜야 합니다. 자세한 내용은 NSX 의심스러운 트래픽 감지기 활성화 항목을 참조하십시오.

감지기 정의 탭에 나열된 각 NSX 의심스러운 트래픽 감지기에는 일반적으로 다음이 포함됩니다.

  • 감지기 이름 및 설명

  • 켜기/끄기 토글 버튼

  • 가능성(민감도) 슬라이더

    이 슬라이더를 사용하면 감지기가 경고를 생성할 가능성을 설정할 수 있습니다. 가능성 임계값보다 낮은 감지의 경우 시스템은 의심스러운 트래픽 이벤트를 삭제합니다. 모든 감지기에 관해 이 슬라이더가 포함되는 것은 아닙니다.

  • 제외

    VM 제외는 NSX 의심스러운 트래픽 기능이 감지기에서 모니터링하지 못하도록 제외하는 고정 VM 목록입니다. 그룹 제외의 경우 감지기에서 멤버를 제외할지 여부는 시스템이 감지기를 실행하는 시기에 따라 다릅니다. 시스템이 감지기를 실행할 때 그룹이 없으면 시스템 로그에 주의가 생성될 수 있습니다. 시스템이 감지기를 실행할 때 VM이 없으면 감지기는 제외 설정을 자동으로 무시합니다. 모든 NSX 의심스러운 트래픽 감지기에서 그룹 제외를 지원하는 것은 아닙니다.

감지기 정의의 일부 속성 값 수정

선택한 NSX 의심스러운 트래픽 감지기 정의에 대한 일부 기본 속성 값을 수정하려면 감지기 정의 탭을 사용합니다.

다음 이미지는 편집 모드에 있는 감지기 정의의 예를 보여 줍니다.
편집 모드의 수평 포트 스캔 감지기 정의 카드 스크린샷.

사전 요구 사항

  • NSX Intelligence 3.2 이상을 활성화해야 합니다.
  • 다음 NSX 역할 중 하나를 사용하여 NSX Manager에 로그인해야 합니다.
    • 엔터프라이즈 관리자
    • 보안 관리자

프로시저

  1. 브라우저에서 필요한 권한으로 https://<nsx-manager-ip-address>에서 NSX Manager 장치에 로그인합니다.
  2. 보안 > 의심스러운 트래픽 > 감지기 정의 탭으로 이동합니다.
  3. 정의를 수정할 감지기를 찾고 편집(연필 아이콘)을 클릭합니다.
  4. 감지기를 켜거나 끄려면 토글 버튼을 클릭합니다.
  5. 슬라이더가 정의에 포함된 경우 감지기가 의심스러운 트래픽 이벤트를 식별하는 데 사용하는 원하는 값으로 슬라이더를 이동합니다.

    슬라이더를 더 작은 값으로 설정하면 감지기가 의심스러운 트래픽 이벤트를 식별할 가능성이 더 커집니다.

  6. 제외 목록을 정의합니다.
    1. 필터 적용을 클릭하고 드롭다운 메뉴에서 소스에 관해 그룹 또는 VM을 선택합니다. 일부 감지기에는 VM만 선택할 수 있습니다.
    2. 사용 가능한 그룹 또는 VM 목록에서 선택하여 제외 목록을 정의합니다.
    3. 적용을 클릭합니다.
  7. 저장을 클릭합니다.