您可以使用 NSX 可疑流量功能,來設定網路流量異常 (NTA) 的設定。您可以從 NSX Network Detection and Response 或 NSX Intelligence 來設定 NSX 可疑流量功能。
備註: 如果您從
NSX Intelligence UI 來設定 NTA 資料收集或可疑流量偵測器設定,
NSX Network Detection and Response 會顯示該組態,反之亦然。一旦變更其中一處的設定,將覆寫另一處先前的設定。
設定頁面下的 NTA 偵測器定義索引標籤會顯示 NSX 可疑流量 功能目前支援的所有偵測器。
依預設,將關閉偵測器。您必須手動開啟每個偵測器,然後它才能開始監控您的 NSX 環境中的網路流量。如需詳細資料,請參閱 啟用可疑流量偵測器。
NTA 偵測器定義索引標籤上列出的每個 NSX 可疑流量偵測器通常包含以下內容。
- 偵測器名稱和說明
- 開啟/關閉切換按鈕
- 可能性 (敏感性) 滑桿
透過使用此滑桿,您可以設定偵測器產生警示的可能性。對於低於可能性臨界值的偵測,系統會捨棄可疑流量事件。並非所有偵測器都包含此滑桿。
- 排除項目
虛擬機器排除是一份虛擬機器靜態清單,這些虛擬機器由「NSX 可疑流量」功能從偵測器監控中排除。對於群組排除,偵測器是否排除成員取決於系統何時執行偵測器。如果在系統執行偵測器時組不存在,系統可能會在系統記錄中產生警告。如果在系統執行偵測器時虛擬機器不存在,偵測器以靜默方式忽略排除設定。並非所有 NSX 可疑流量 偵測器都支援組排除。