您可以监控事件并查看过去 14 天的数据。

要查看入侵事件,请导航到 安全性 > IDS/IPS。您可以根据以下条件筛选事件:
  • 筛选条件。从以下选项中进行选择:
    筛选标准 描述
    攻击目标 攻击的目标。
    攻击类型 攻击的类型,如特洛伊木马或拒绝服务 (Denial of Service, DoS)。
    CVSS 通用漏洞评分(根据高于设定阈值的评分进行筛选)。
    网关名称 已注册事件的网关名称。
    IP 地址 已注册事件的 IP 地址。
    受影响的产品 易受攻击的产品或版本,例如 Windows XP 或 Web 浏览器。
    特征码 ID 特征码规则的唯一 ID。
    虚拟机名称 已注册事件的虚拟机(基于逻辑端口)。
  • 流量:从以下选项中进行选择:
    • 所有流量
    • 仅分布式
    • 仅网关
  • 特征码操作:从以下选项中进行选择:
    • 显示所有特征码
    • 已丢弃 (已阻止)
    • 已拒绝 (已阻止)
    • 警示 (仅检测)
  • 严重性等级:从以下选项中进行选择。
    • 严重
    • 中等
    • 可疑

您可以切换时间轴按钮以查看或隐藏基于严重性等级的时间轴图表。此图显示在选定时间段内发生的事件。您可以放大此图上的特定时间范围,查看在该时间范围内发生的相关事件的特征码详细信息。

在时间轴图表上,彩色的点表示入侵事件的唯一类型,单击这些点可查看相关详细信息。点的大小表示出现入侵事件的次数。闪烁的点表示攻击正在进行中。指向某个点可查看攻击名称、尝试次数、首次出现时间以及其他详细信息。
  • 红色点 - 表示极高严重性特征码事件。
  • 橙色点 - 表示高严重性特征码事件。
  • 黄色点 - 表示中等严重性特征码事件。
  • 灰色点 - 表示低严重性特征码事件。
  • 紫色 - 表示可疑的严重性特征码事件。

对于某个特定特征码的所有入侵尝试,会按其首次出现时间进行分组和绘制。

单击事件旁边的箭头可查看详细信息。
详细信息 描述
影响评分

影响评分是风险评分 (威胁的严重性) 和置信度评分 (检测正确的强度) 的组合值。

严重性 入侵的特征码严重性。
上次检测时间 这是上次触发特征码的时间。
详细信息 特征码目标的简要描述。
受影响的用户 受事件影响的用户数。
工作负载 受影响的工作负载数。单击以查看受影响的工作负载详细信息。
CVE 详细信息

可能被利用的漏洞的 CVE 引用。

CVSS

可能被利用的漏洞的常见漏洞评分。

入侵事件详细信息 (最新发生) - 源 攻击者的 IP 地址和使用的源端口。
入侵事件详细信息 (最新发生) - 网关 Edge 节点详细信息,其中包含事件注册所在的工作负载。
入侵事件详细信息 (最新发生) - Hypervisor 传输节点详细信息,其中包含事件注册所在的工作负载。
入侵事件详细信息 (最新发生) - 目标 被攻击者的 IP 地址和使用的目标端口。
攻击方向 客户端-服务器或服务器-客户端。
攻击目标 攻击的目标。
攻击类型 攻击的类型,如特洛伊木马或拒绝服务 (Denial of Service, DoS)。
受影响的产品 说明哪些产品容易受到攻击。
总事件数 事件的入侵尝试总次数。
入侵活动 显示触发此特定 IDS 特征码的总次数、最近出现时间以及首次出现时间。
服务 与事件关联的协议信息。
特征码 ID

IDS 特征码的唯一 ID。

特征码修订版本 IDS 特征码的修订版本号。
Mitre 技术 描述检测到的活动的 MITRE ATT&CK 技术。
Mitre 策略 描述检测到的活动的 MITRE ATT&CK 策略。
关联的 IDS 规则 配置的导致出现此事件的 IDS 规则的可点击链接。
要查看完整的入侵历史记录,请单击 查看完整事件历史记录链接。此时将打开一个窗口,其中包含以下详细信息:
详细信息 描述
检测时间 这是上次触发特征码的时间。
流量类型

这可以是“分布式”或“网关”。“分布式”指示东西向流量,“网关”指示南北向流量。

受影响的工作负载/IP 在给定流量期间命中给定攻击或漏洞的虚拟机或 IP 地址的数量。
尝试次数 在给定流量期间进行的攻击或漏洞入侵尝试次数。
攻击者的 IP 地址。
目标 被攻击者的 IP 地址。
协议 检测到的入侵的流量协议。
规则 特征码所属的规则(通过配置文件)。
配置文件 签名所属的配置文件。
操作 针对事件触发的以下任一操作:
  • 丢弃
  • 拒绝
  • 警示
您还可以根据以下条件筛选入侵历史记录:
  • 操作
  • 目标 IP
  • 目标端口
  • 协议
  • 规则
  • 源 IP
  • 源端口
  • 流量类型

日志记录

NSX-T Data Center 组件将写入 /var/log 目录中的日志文件。在 NSX-T Data Center 设备上,NSX-T Data Center syslog 消息遵循 RFC 5424 格式规范。在 ESXi 主机上,syslog 消息遵循 RFC 3164 格式规范。

ESXi 主机上的 /var/log/nsx-idps 文件夹中有两个与 IDS/IPS 相关的本地事件日志文件:
  • fast.log - 包含 nsx-idps 进程事件的内部日志记录,其中包含的信息有限,且仅用于调试目的。
  • nsx-idps-events.log - 包含有关事件(所有警示/丢弃/拒绝事件)的详细信息以及 NSX 元数据。

默认情况下,不启用 IDS/IPS syslog。运行以下 API 以查询当前设置。

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

示例响应:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

要允许将 NSX-T Data Center IDS/IPS 日志发送到中央日志存储库,请运行以下 API 并将 ids_events_to_syslog 变量设置为 true。

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

示例请求:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

这些事件是直接从 ESXi 主机导出的,因此请确保在 ESXi 主机上配置了远程 syslog。您还必须确保同时将 NSX-T Data Center Manager 和 ESXi 主机设置为将 syslog 消息转发到中央日志存储库。

有关 IDS/IPS API 的信息,请参见 NSX-T Data Center API 指南。有关配置远程日志记录的详细信息,请参见配置远程日志记录日志消息和错误代码部分下的所有相关信息。