NSX Network Detection and Response 功能的主要目標是,從您的 NSX-T Data Center 環境中每個啟用的事件來源收集重要異常活動或惡意事件。
收集事件
NSX Network Detection and Response 將所有需要進一步分析的收集事件提交到 VMware NSX® Advanced Threat Prevention 雲端服務以建立關聯性與進行視覺化。您可以使用 NSX Network Detection and Response 使用者介面 (UI) 查看和管理分析結果。
NSX Network Detection and Response 將其確定相關的事件與活動相關聯。活動中的威脅事件劃分為一個時間表,安全分析師可以使用 NSX Network Detection and Response UI 查看此時間表和進行分類。
事件類型和事件來源
下表列出了
NSX Network Detection and Response 可以收集的事件類型以及產生這些事件的來源。為了讓任何事件來源將事件傳送到
NSX Network Detection and Response,您必須啟用為此事件類型提到的相應
NSX-T Data Center 功能。
事件類型 | 事件來源 |
---|---|
惡意檔案事件 | Edge 應用裝置 (如果啟用了 VMware NSX® 惡意程式碼防護 功能)。 |
IDS 事件 | 分散式 IDS (如果啟用了 Distributed NSX IDS/IPS 功能)。 |
網路流量異常事件 | VMware NSX® Intelligence™ (如果啟用了此功能並開啟 NSX 可疑流量 偵測器)。 |
重要: 若要最大限度利用
NSX Network Detection and Response 功能,請啟用一或多個
NSX-T Data Center 功能以使用其事件。雖然您可以單獨啟用
NSX Network Detection and Response 功能,但如果未啟用上表中提到的任何
NSX-T Data Center 功能,則
NSX Network Detection and Response 沒有可供分析的任何事件,因此,無法利用它提供的任何功能。
啟用和使用功能
在開始使用 NSX Network Detection and Response 功能之前,必須滿足特定的授權需求和軟體需求,並且必須啟動該功能。若要開始使用 NSX Network Detection and Response 管理可在 NSX-T Data Center 環境中監控的不同事件類型,還必須啟用並設定相應的 NSX-T Data Center 功能。
如需後續步驟的更多資訊,請參閱NSX Network Detection and Response 啟用和使用工作流程。
啟用其他 NSX 功能
如需如何啟用和設定
NSX-T Data Center 功能以使
NSX Network Detection and Response 使用其偵測事件的資訊,請參閱下表。
要啟用的 NSX-T Data Center 功能 | 文件名稱和位置 | 主題標題 |
---|---|---|
NSX IDS/IPS | 3.2 版或更新版本的《《NSX-T Data Center 管理指南》》。 | 開始使用 NSX IDS/IPS 和 NSX 惡意程式碼防護 |
NSX 惡意程式碼防護 | 3.2 版或更新版本的《《NSX-T Data Center 管理指南》》。 | 啟用 NSX 惡意程式碼防護 |
NSX Intelligence | 隨 VMware NSX Intelligence 說明文件集提供的 3.2 版或更新版本的《《啟用和升級 VMware NSX Intelligence》》。 | 啟用 NSX Intelligence |
NSX 可疑流量 | 隨 VMware NSX Intelligence 說明文件集提供的 3.2 版或更新版本的《《使用和管理 VMware NSX Intelligence》》。 | 啟用 NSX 可疑流量 偵測器 |