Das Ereignisfenster enthält die Daten der letzten 14 Tage.
Navigieren Sie zu
, um Eindringereignisse nach Zeit anzuzeigen.
Es gibt drei Ereignisprotokolldateien im Ordner
/var/log/nsx-idps auf ESXi-Hosts:
- Schnellprotokoll – enthält die interne Protokollierung von nsx-idps-Prozessereignissen mit begrenzten Informationen und wird nur für das Debugging verwendet
- nsx-idps-log – enthält allgemeine nsx-idps-Prozessprotokolle mit grundlegenden Informationen und Fehlern bezüglich des Prozessworkflows
- nsx-idps-events.log – enthält detaillierte Informationen zu Ereignissen (alle Warnungen/Ablegungen/Ablehnungen) mit NSX-Metadaten
Farbige Punkte geben den eindeutigen Typ der Eindringereignisse an. Sie können darauf klicken, um Details anzuzeigen. Die Größe des Punktes gibt an, wie oft ein Eindringereignis erkannt wurde. Ein blinkender Punkt weist darauf hin, dass gerade ein Angriff stattfindet. Zeigen Sie auf einen Punkt, um den Angriffsnamen, die Anzahl von Versuchen, das erste Auftreten und weitere Details anzuzeigen.
- Rote Punkte: stehen für Signaturereignisse mit kritischem Schweregrad.
- Orangefarbene Punkte: stehen für Signaturereignisse mit hohem Schweregrad.
- Gelbe Punkte: stehen für Signaturereignisse mit mittlerem Schweregrad.
- Graue Punkte: stehen für Signaturereignisse mit geringem Schweregrad.
Alle Eindringversuche für eine bestimmte Signatur werden bei ihrem ersten Auftreten gruppiert und aufgezeichnet.
- Wählen Sie die Zeitachse aus, indem Sie in der oberen rechten Ecke auf den Pfeil klicken. Die Zeitachse kann zwischen 24 Stunden und 14 Tagen liegen.
- Filtern Sie Ereignisse nach:
Filterkriterien Beschreibung Angriffsziel Ziel des Angriffs. Angriffstyp Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS). CVSS (Common Vulnerability Score) Common Vulnerability Score (Filterung basierend auf einer Punktzahl über einem festgelegten Schwellenwert). Betroffenes Produkt Angreifbares Produkt (Version), z. B. Windows XP oder Web-Browser VM-Name Die VM (basierend auf dem logischen Port), von der der Exploit-Datenverkehr stammt oder empfangen wurde. - Klicken Sie auf den Pfeil neben einem Ereignis, um Details anzuzeigen.
Detail Beschreibung Zuletzt erkannt Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde. Details Der Name der Signatur, die verwendet wurde. Betroffenes Produkt Zeigt, welches Produkt für den Exploit anfällig ist. Betroffene VM Eine Liste der VMs, die an dem Eindringversuch beteiligt sind. Details zu Schwachstellen Sofern verfügbar, wird hier ein Link zur CVE- und CVSS-Punktzahl angezeigt, die mit der Schwachstelle verknüpft ist. Quelle IP-Adresse des Angreifers und des verwendeten Quellports. Ziel IP-Adresse des Opfers und des verwendeten Zielports. Angriffsrichtung Client-Server oder Server-Client. Zugeordnete IDS-Regel Klickbarer Link zu der konfigurierten IDS-Regel, die zu diesem Ereignis führte. Revision Die Revisionsnummer der IDS-Signatur. Aktivität Zeigt an, wie oft die jeweilige IDS-Signatur ausgelöst wurde, wann sie zuletzt aufgetreten ist und wann sie zuerst aufgetreten ist. - Klicken Sie zum Anzeigen des Eindringverlaufs auf den Pfeil neben einem Ereignis und klicken Sie dann auf Verlauf des Eindringversuchs anzeigen. Es wird ein Fenster mit den folgenden Details geöffnet:
Detail Beschreibung Quell-IP IP-Adresse des Angreifers. Quellport Der Quellport, der bei dem Angriff verwendet wurde. Ziel-IP IP-Adresse des Opfers. Zielport Der bei dem Angriff verwendete Zielport. Protokoll Datenverkehrsprotokoll der erkannten Eindringung. Erkennungszeit Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde.
- Die Übersicht unter dem Diagramm zeigt Ereignisse, die in einem ausgewählten Zeitraum stattgefunden haben. Sie können das spezifische Zeitfenster in diesem Diagramm vergrößern, um Details zu den Signaturen der zugehörige Ereignisse anzuzeigen, die während des Zeitfensters aufgetreten sind.