작동 방식

사전 요구 사항을 충족하면 NSX 의심스러운 트래픽 기능은 NSX Intelligence가 적격 NSX 워크로드(호스트 또는 호스트의 클러스터)에서 수집한 East-West 네트워크 트래픽 흐름 데이터에 대한 네트워크 위협 분석을 생성할 수도 있습니다. NSX Intelligence는 수집된 데이터를 저장하고 30일 동안 유지합니다. NSX 의심스러운 트래픽 엔진은 지원되는 감지기를 사용하여 데이터를 분석하고 의심스러운 작업에 플래그를 지정합니다. 감지된 위협 이벤트에 대한 정보는 NSX 의심스러운 트래픽 UI 페이지의 이벤트 탭을 사용하여 확인할 수 있습니다.

활성화된 NSX Network Detection and Response 애플리케이션은 심층 분석을 위해 의심스러운 트래픽 이벤트를 VMware NSX^® Advanced Threat Prevention 클라우드 서비스로 보냅니다. NSX Advanced Threat Prevention 서비스가 특정 의심스러운 트래픽 이벤트가 관련되어 있다고 판단하는 경우 의심스러운 트래픽 이벤트를 캠페인과 상호 연관 짓습니다. 그런 다음, 서비스는 캠페인의 이벤트를 타임라인으로 구성하고 NSX Network Detection and Response 사용자 인터페이스에서 시각화합니다. 모든 위협 이벤트는 NSX Network Detection and Response 사용자 인터페이스를 사용하여 시각화됩니다. 개별 위협 이벤트 및 캠페인은 네트워크 보안 팀이 추가로 조사할 수 있습니다. NSX Advanced Threat Prevention 클라우드 서비스는 이전에 감지된 위협에 대한 정기적인 업데이트를 가져오고 필요할 때 시각화 UI 화면을 업데이트합니다.

지원되는 감지기

다음 표에는 NSX 의심스러운 트래픽 기능이 감지된 의심스러운 네트워크 트래픽을 분류하는 데 사용하는 지원되는 감지기가 나열되어 있습니다. 이러한 감지기에서 생성된 감지 결과는 MITRE ATT&CK^® Framework의 특정 기술 또는 전술과 연관될 수 있습니다.

이러한 감지기는 기본적으로 꺼져 있으며 NSX 환경에서 사용하려는 각 감지기를 명시적으로 켜야 합니다. 사전 요구 사항 및 감지기를 켜는 방법에 대한 자세한 내용은 NSX 의심스러운 트래픽 감지기 활성화 항목을 참조하십시오.

감지기 정의 탭을 사용하여 지원되는 감지기의 일부 정의에 대한 제외 목록 및 가능성 값을 관리할 수 있습니다. 자세한 내용은 NSX 의심스러운 트래픽 감지기 정의 관리 항목을 참조하십시오.