从 NSX-T Data Center 3.2 开始,全新设计的“安全”仪表板可帮助您配置保护网络和工作负载的功能。安全概览仪表板显示各种威胁检测和响应功能、整体安全配置的可视化摘要以及 NSX-T Data Center 环境中各种对象的功能。
此仪表板上显示的信息取决于在数据中心中部署和激活的安全功能。
威胁检测和响应
此选项卡提供有关数据中心中各种安全问题的当前状态的关键信息。这些功能有助于安全团队了解网络中发生的情况以及要关注的方面。
- 攻击活动
-
攻击活动是一组使用特定 MITRE 策略和技术的相关威胁事件。可以将威胁事件映射到 MITRE ATT&CK 阶段以定义攻击详情。攻击活动的范围包括短时间内的单组检测事件和较长时间内复杂的多路攻击。通过攻击活动,您可以查看完整的威胁事件时间轴,以便快速响应和分类。
如果激活了 VMware NSX® Network Detection and Response™ 功能,此小组件将显示以下攻击活动统计信息。- 在此时间段内 NSX Network Detection and Response 发现且当前在网络中处于活动状态的攻击活动总数。
- 选定时间段内正在进行的高影响攻击活动的总数。
- 选定时间段内打开的高影响攻击活动总数。
- 在选定时间段内受发现的攻击活动影响的虚拟机总数。
单击转至攻击活动,可在 NSX Network Detection and Response 用户界面的攻击活动页面查看更多详细信息。要了解有关 NSX Network Detection and Response 的更多信息,请参见NSX Network Detection and Response。
- IDS/IPS
-
- IDS/IPS 摘要屏幕显示以下内容:
-
条目 说明 入侵事件 以可单击的链接形式显示入侵事件总数以及导致警示或防护的入侵数量。 唯一入侵特征码 显示一个图表,其中包含在每个严重性类别中检测到的入侵数量。 主要攻击类型的事件 根据攻击类型显示图形。 - 分布式 IDS/IPS 摘要
条目 说明 入侵严重性趋势 显示一个图表,其中包含入侵事件随时间推移的严重性趋势和入侵事件数。 发行版 显示一个雷达图,显示 48 小时到 14 天内基于攻击类型、攻击目标或严重性的分布情况。
排名靠前的虚拟机 显示尝试入侵的前几个虚拟机。 - 网关 IDS/IPS 摘要
条目 说明 入侵严重性趋势 显示一个图表,其中包含入侵事件随时间推移的严重性趋势和入侵事件数。 发行版 显示一个雷达图,显示 48 小时到 14 天内基于攻击类型、攻击目标或严重性的分布情况。
排名靠前的 IP 显示尝试入侵的前几个 IP。
- FQDN 分析
-
“FQDN 分析摘要”屏幕显示:
- 检查的 URL 总数及其严重性级别。
- 检查的 FQDN 数量最多的排名靠前的 URL 类别。
- 严重性最高的 URL,以及日期和时间
- URL 筛选
-
选择特定网关或所有网关以查看以下信息:
- 按严重性等级划分的 URL 分布。
- 允许的 URL 的严重性级别,并显示检查的 URL 数量最多的前五个类别
- 突出显示阻止的 URL 数量最多的前五个 URL 类别。
- “唯一站点分布”显示允许的 URL 数量最多的前五个站点。突出显示阻止的 URL 数量最多的前五个站点。
- 恶意软件防护
-
以图形格式显示选定时间段的以下文件事件统计信息:
- 检查的文件事件、恶意文件事件、可疑文件事件和阻止的文件的总数。
- 针对不同威胁评分范围的文件检查次数。
- 按时间戳排序的数据中心内最近检查的前五个文件。
- 在数据中心检测到的前五个恶意文件。
- 数据中心内的恶意文件事件、可疑文件事件和禁止的文件事件趋势。
- 根据文件所属的恶意软件系列分布文件检查。
- 按执行的分析类型(本地文件分析、云文件分析)进行的文件检查分类。
- 可疑的网络活动
-
如果激活了 VMware NSX® Intelligence™,此选项卡将显示有关在选定时间段内检测到的可疑或异常事件的以下统计信息(以图形格式)。
- 圆圈显示在选定时间段内检测到的异常总数。圆圈由彩色分段组成,这些分段表示检测到的异常事件数量以及用于检测事件的 MITRE 对抗策略和技术。
- 一个包含检测到的可疑事件和这些事件在选定时间段内发生的次数的列表,这些事件按检测时使用的相同 MITRE 策略和技术进行分类。
- 显示检测到的按严重性分类的异常事件数量的条形图。
单击查看全部,可使用可疑流量页面查看有关检测到的可疑事件的详细信息。要了解有关 NSX 可疑流量 功能的更多信息,请参见版本 3.2 及更高版本的 使用和管理 VMware NSX Intelligence 文档,网址为 https://docs.vmware.com/cn/VMware-NSX-Intelligence/index.html。
- TLS 检查
-
TLS 检查和解密可提供一种安全地应对企业 Web 流量中层出不穷的威胁的方法。此功能使用 TLS 代理以透明方式拦截通过 TLS 连接的加密流量,并使 NSX 安全服务(如第 7 层防火墙、IDS 和 URL 筛选)能够检查内容并强制执行安全策略。您可以使用向导或手动按照工作流来设置策略和规则。从 NSX-T Data Center 3.2.1 开始,此功能可在生产环境中使用,并且完全支持此类环境。在 NSX-T Data Center 3.2.0 中,此功能仅在技术预览模式下可用。有关详细信息,请参见TLS 检查和 NSX-T Data Center 发行说明。
激活后,“安全概览”仪表板显示以下 TLS 连接和证书详细信息。- 圆环图显示“TLS 连接摘要”详细信息,包括:
- 已由于失败绕过
- 已解密
- 连接故障
- 已由于规则绕过
- 连接和规则
- 总连接数
- 打开的连接数
- CPS
- 规则命中数
- 圆环图显示“证书缓存”详细信息,包括:
- 缓存的命中数
- 缓存的证书
- 缓存未命中数
- 流量
- 吞吐量详细信息,包括客户端到服务器和服务器到客户端的吞吐量
- 总流量详细信息,包括客户端到服务器和服务器到客户端的总流量
- 圆环图显示“TLS 连接摘要”详细信息,包括:
配置
- 防火墙策略
- 端点策略
- IDS/IPS 策略
- 恶意软件防护策略
- 网络侦测策略
- TLS 检查策略
此页面还提供以下各项的安全设置的详细视图:
- 网关防火墙小组件
-
突出显示网关防火墙安全设置。单击链接以查看已激活以下安全功能的网关:
- IDS/IPS
- 恶意软件防护
- TLS 检查
要查看具有这些安全功能的网关,必须在您的数据中心中至少部署上述安全功能之一。
- 分布式防火墙小组件
- 端点保护小组件
-
显示虚拟机端点保护配置的摘要。您可以按服务配置文件、存在问题的组件以及运行文件侦测的已配置虚拟机查看虚拟机分布情况。
- 恶意软件防护小组件
-
当 NSX 分布式恶意软件防护 服务的任何组件关闭或无法运行时,此 UI 小组件将显示问题。
例如:- 当 NSX 恶意软件防护 服务虚拟机 (SVM) 上的安全 Hub 关闭时,条形图将显示问题。将鼠标指向条可查看以下详细信息:
- 受影响的 NSX 恶意软件防护 SVM 数。
- 因 Security Hub 发生故障,主机上失去恶意软件安全防护的工作负载虚拟机数。
- 圆环图显示以下详细信息:
- 运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
- 未运行 NSX 文件侦测驱动程序的工作负载虚拟机数。
对于这两个衡量指标,仅考虑启用 NSX 分布式恶意软件防护 的主机集群上的工作负载虚拟机。
- 当 NSX 恶意软件防护 服务虚拟机 (SVM) 上的安全 Hub 关闭时,条形图将显示问题。将鼠标指向条可查看以下详细信息:
容量
- 侦测规则南北向 Tier-1
- Active Directory 域 (身份防火墙)
- 服务链
- 侦测策略东西向
- 保存的防火墙规则配置
- 侦测策略南北向 Tier-0
- 侦测服务路径
- 系统范围的防火墙规则
- 侦测规则南北向 Tier-0
- 侦测规则东西向
- 启用了系统范围端点保护的虚拟机
- 侦测策略南北向 Tier-1
- 分布式防火墙区域
- 系统范围的防火墙区域
- Active Directory 域 (身份防火墙)
- 启用了系统范围端点保护的主机
- 分布式防火墙规则