在您的 NSX 環境中偵測任何威脅或可疑網路流量資料之前,您必須手動開啟您希望 NSX Intelligence 使用的 NSX 可疑流量偵測器。只有已啟用的偵測器將會用於監控可疑的網路流量事件。

必要條件

程序

  1. 從瀏覽器以必要的權限登入 NSX Manager 應用裝置,網址為 https://<nsx-manager-ip-address>
  2. 使用下列步驟來開啟支援的 NSX 可疑流量 偵測器,以對收集的流量資料執行網路流量分析。

    請注意,下列步驟適用於所有可用的偵測器,但基於 DNS 的偵測器除外,必須先手動設定該偵測器,然後才能使用。如需設定基於 DNS 的偵測器的資訊,請參閱此步驟的後續步驟。

    1. 導覽至安全性 > 可疑的流量 > 偵測器定義索引標籤。
    2. 找到要啟用的偵測器,然後按一下編輯 (鉛筆圖示)。
    3. 找到展開的資料列最右側的切換開關,然後按一下切換開關以開啟偵測器,如下圖所示。

      此螢幕擷取畫面顯示 [可疑的流量] UI 中的 [偵測器定義] 索引標籤。

    4. 按一下儲存
  3. 若要開啟基於 DNS 的偵測器,例如網域產生演算法 (DGA) 和 DNS 通道,只需執行一次下列步驟。
    1. 建立自訂 DNS 內容設定檔或使用預設的系統提供內容設定檔。

      請參閱 NSX 3.2 或更新版本的 VMware NSX 說明文件集隨附的《NSX 管理指南》中有關新增內容設定檔的詳細資料。

    2. 建立一個分散式防火牆規則,在來源目的地資料行中使用任何,並使用 DNS 內容設定檔 (如果已建立)。

      請參閱 NSX 3.2 或更新版本的 VMware NSX 說明文件集隨附的《NSX 管理指南》中有關新增分散式防火牆規則的詳細資料。

    3. 導覽至安全性 > 可疑的流量 > 偵測器定義索引標籤。
    4. 找到要啟用的基於 DNS 的偵測器,然後按一下編輯 (鉛筆圖示)。
    5. 在展開的資料列的最右側,找到該基於 DNS 偵測器的切換開關。若要開啟偵測器,請按一下切換以切換為開啟。
    6. 按一下儲存

結果

啟用的偵測器的切換開關在偵測器定義索引標籤中顯示為開啟

下一步

管理偵測到的可疑流量事件。如需詳細資料,請參閱分析可疑流量事件