可疑流量頁面中的偵測器定義索引標籤顯示 NSX Intelligence 中的 NSX 可疑流量功能目前支援的所有偵測器。

預設情況下,將關閉偵測器。您必須手動開啟每個偵測器,然後它才能開始監控您的 NSX 環境中的網路流量。如需詳細資料,請參閱啟用 NSX 可疑流量 偵測器

NSX 可疑流量偵測器定義索引標籤上列出的每個 偵測器通常包含以下內容。

  • 偵測器名稱和描述

  • 開啟/關閉切換按鈕

  • 可能性 (敏感性) 滑桿

    透過使用此滑桿,您可以設定偵測器產生警示的可能性。對於低於可能性臨界值的偵測,系統會捨棄可疑流量事件。並非所有偵測器都包含此滑桿。

  • 排除項目

    虛擬機器排除是 NSX 可疑流量 功能從偵測器監控中排除的虛擬機器的靜態清單。對於群組排除,偵測器是否排除成員取決於系統何時執行偵測器。如果在系統執行偵測器時組不存在,系統可能會在系統記錄中產生警告。如果在系統執行偵測器時虛擬機器不存在,偵測器以靜默方式忽略排除設定。並非所有 NSX 可疑流量 偵測器都支援組排除。

修改偵測器定義的某些屬性值

若要修改選定的 NSX 可疑流量 偵測器定義的一些預設屬性值,請使用偵測器定義索引標籤。

下圖顯示一個處於編輯模式的範例偵測器定義。
此螢幕擷取畫面顯示處於編輯模式的「水平連接埠掃描」偵測器定義卡。

必要條件

  • 必須啟用 NSX Intelligence 3.2 或更新版本。
  • 您必須使用下列 NSX 角色之一來登入 NSX Manager
    • 企業管理員
    • 安全管理員

程序

  1. 從瀏覽器以必要的權限登入 NSX Manager 應用裝置,網址為 https://<nsx-manager-ip-address>
  2. 導覽至安全性 > 可疑的流量 > 偵測器定義索引標籤。
  3. 找到要修改定義的偵測器,然後按一下編輯 (鉛筆圖示)。
  4. 若要開啟或關閉偵測器,請按下切換按鈕。
  5. 如果定義中包含滑桿,請將滑桿移動到偵測器用來識別可疑流量事件的所需值。

    將滑桿設定為較小的值,代表此偵測器識別可疑流量事件的可能性較大。

  6. 定義排除清單。
    1. 按一下套用篩選器,然後在下拉式功能表中為來源選取群組虛擬機器。某些偵測器只有虛擬機器可供選取。
    2. 從可用的群組或虛擬機器清單中選取,以定義排除清單。
    3. 按一下套用
  7. 按一下儲存