NSX Network Detection and Response는 특정 조건을 충족하는 경우 감지를 집계합니다.
감지 이벤트는 특정 시점에 감지된 악의적인 활동이 단일 인스턴스에 해당하지 않습니다. 대신 최대 24시간 내에 동일한 워크로드에 영향을 미치는 유사한 활동을 집계합니다. NSX Network Detection and Response 처리 파이프라인에서 새 감지 데이터를 수신하면 기존 감지 이벤트와 데이터를 비교하여 기존 감지 이벤트로 집계할 수 있는지 확인합니다. 이 경우 해당 이벤트가 기존 감지 이벤트에 추가됩니다. 집계할 수 없으면 새 감지 이벤트가 생성됩니다. 이 집계는 특정 조건이 충족될 때 발생할 수 있습니다.
단일 감지 이벤트로 집계하기 위한 감지를 고려할 때 다음 조건이 충족되어야 합니다.
- 전체 감지 이벤트는 24시간 이상 지속되지 않습니다.
- 동일한 워크로드가 영향을 받습니다.
- 동일한 VM UUID(있는 경우)
- 동일한 IP 주소(있는 경우)
- 이벤트 유형이 동일합니다.
-
동일한 유형의 활동이 동일한 방식으로 감지되었습니다.
예를 들어 IDS 감지의 경우 동일한 서명이 있는지 검색됩니다.