如果符合特定條件,NSX Network Detection and Response 會對偵測進行彙總。

偵測事件不會對應至在特定時間點偵測到的惡意活動的單一執行個體。相反地,它會將在長達 24 小時內影響了同一工作負載的類似活動彙總起來。當 NSX Network Detection and Response 處理管線收到新的偵測資料時,它會將這些資料與現有的偵測事件進行比較,以判斷新的偵測資料是否可與現有偵測事件彙總在一起。若是可以,則會將其新增到現有偵測事件中。否則,將會建立新的偵測事件。只要符合特定條件,就可能進行這項彙總。

必須符合下列條件,才會考慮將偵測彙總為單一偵測事件:

  • 整體偵測事件不會持續超過 24 小時。
  • 影響的是同一工作負載:
    • 同一虛擬機器 UUID (如果有)
    • 同一 IP 位址 (如果有)
  • 事件類型相同。
  • 以相同方式偵測到相同類型的活動。

    例如,對於 IDS 偵測,這表示必須符合相同的特徵碼。