NSX Intelligence 應用程式中的 NSX 可疑流量功能目標是,偵測您的 NSX 環境中的可疑或異常網路流量行為。
運作方式
在滿足必要條件後,NSX 可疑流量 功能可以開始為 NSX Intelligence 已收集的東西向網路流量資料,產生網路威脅分析,且這些資料是從符合條件的 NSX 工作負載 (主機或主機叢集) 收集的。NSX Intelligence 會儲存所收集的資料,並保留該資料 30 天。NSX 可疑流量 引擎會使用支援的偵測器分析資料,並標記可疑活動。您可以使用 NSX 可疑流量 UI 頁面的事件索引標籤,檢視偵測到的威脅事件的相關資訊。
如果已啟用,NSX Network Detection and Response 應用程式會將可疑流量事件傳送至 VMware NSX® Advanced Threat Prevention 雲端服務,以進行更深入的分析。如果 NSX Advanced Threat Prevention 服務判斷某些可疑流量事件是相關的,它會將這些可疑流量事件與一個活動相關聯。然後,此服務將此活動中的事件劃分為一個時間表,並在 NSX Network Detection and Response 使用者介面上視覺化此時間表。所有威脅事件是使用 NSX Network Detection and Response 使用者介面視覺化的。您的網路安全團隊可以進一步調查各個威脅事件和活動。NSX Advanced Threat Prevention 雲端服務定期取得有關以前偵測到的威脅的更新,並在需要時更新視覺化 UI 螢幕。
支援的偵測器
下表列出了支援的偵測器,NSX 可疑流量 功能使用這些偵測器對偵測到的可疑網路流量進行分類。這些偵測器產生的偵測可能與 MITRE ATT&CK® Framework 中的特定技術或戰略相關聯。
依預設,將關閉這些偵測器,您必須明確開啟要在您的 NSX 環境中使用的每個偵測器。請參閱啟用 NSX 可疑流量 偵測器,以了解任何必備條件以及如何開啟偵測器的更多詳細資料。
您可以使用偵測器定義索引標籤,來管理這些支援的偵測器的某些定義的排除清單和可能性值。如需詳細資料,請參閱管理 NSX 可疑流量 偵測器定義。
偵測器名稱 |
說明 |
---|---|
資料上傳/下載 |
偵測主機的異常大資料傳輸 (上傳/下載)。 |
目的地 IP 分析工具 |
偵測內部裝置對其他內部主機執行異常連線的嘗試。 |
DNS 通道 |
偵測內部裝置藉由濫用 DNS 流量與外部伺服器進行秘密通訊的嘗試。 |
網域產生演算法 (DGA) |
偵測內部主機所執行之 DNS 查閱中的異常 (可能由 DGA 惡意程式碼所導致)。 |
水平連接埠掃描 |
偵測入侵者是否嘗試掃描多個系統中的一個或多個連接埠或服務 (掃掠)。 |
LLMNR/NBT-NS 破壞和轉送 |
偵測虛擬機器是否顯示異常的 LLMNR/NBT-NS 請求回應模式。 |
網路流量指標 |
偵測內部主機的指標行為。 |
網路流量捨棄 |
偵測是否有異常大量的流量遭到分散式防火牆規則捨棄。 |
連接埠分析工具 |
偵測內部用戶端主機透過異常連接埠與外部主機進行通訊的時間。 |
伺服器連接埠分析工具 |
偵測其他內部主機透過異常連接埠連線至內部主機的時間。 |
遠端服務 |
偵測遠端連線 (例如 telnet、SSH 和 VNC) 的可疑行為。 |
不常使用的連接埠 |
偵測 L7 應用程式 ID 流量是否與指派的標準連接埠/通訊協定不相符。例如,SSH 流量在非標準連接埠上執行,而不是在標準連接埠 22 上執行。 |
異常網路流量模式 |
偵測主機時間序列設定檔中的異常。 |
垂直連接埠掃描 |
偵測入侵者是否嘗試攻擊單個系統的多個開啟連接埠或服務 (掃描)。 |