Überwachen von IDS/IPS-Ereignissen

Sie können Ereignisse überwachen und Daten der letzten 14 Tage anzeigen.

Navigieren Sie zum Anzeigen von Eindringereignissen zu Sicherheit > IDS/IPS. Sie können die Ereignisse basierend auf den folgenden Kriterien filtern:

Filterkriterien. Wählen Sie aus den folgenden Optionen aus:

Filterkriterien	Beschreibung
Angriffsziel	Ziel des Angriffs.
Angriffstyp	Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS).
CVSS	Common Vulnerability Score (Filterung basierend auf einer Punktzahl über einem festgelegten Schwellenwert).
Gateway-Name	Der Gateway-Name, auf dem das Ereignis registriert wurde.
IP-Adresse	IP-Adresse, auf der das Ereignis registriert wurde.
Betroffenes Produkt	Angreifbares Produkt (Version), z. B. Windows XP oder Webbrowser.
Signatur-ID	Eindeutige ID der Signaturregel.
VM-Name	Die VM (basierend auf dem logischen Port), auf der das Ereignis registriert wurde.

Datenverkehr. Wählen Sie aus den folgenden Optionen aus:
- Gesamter Datenverkehr
- Nur verteilt
- Nur Gateway
Signaturaktionen. Wählen Sie aus den folgenden Optionen aus:
- Alle Signaturen anzeigen
- Verworfen (verhindert)
- Abgelehnt (verhindert)
- Warnung (nur Erkennung)
Schweregradbewertung. Wählen Sie aus den folgenden Optionen aus:
- Kritisch
- Hoch
- Mittel
- Niedrig
- Verdächtig

Sie können auf den Schalter Zeitachse klicken, um das auf Schweregradbewertungen basierende Zeitachsendiagramm anzuzeigen oder auszublenden. Das Diagramm zeigt Ereignisse, die in einem ausgewählten Zeitraum stattgefunden haben. Sie können das spezifische Zeitfenster in diesem Diagramm vergrößern, um Details zu den Signaturen der zugehörige Ereignisse anzuzeigen, die während des Zeitfensters aufgetreten sind.

Im Zeitachsendiagramm geben farbige Punkte den eindeutigen Typ der Eindringereignisse an. Sie können darauf klicken, um Details anzuzeigen. Die Größe des Punktes gibt an, wie oft ein Eindringereignis erkannt wurde. Ein blinkender Punkt weist darauf hin, dass gerade ein Angriff stattfindet. Zeigen Sie auf einen Punkt, um den Angriffsnamen, die Anzahl von Versuchen, das erste Auftreten und weitere Details anzuzeigen.

Rote Punkte: stehen für Signaturereignisse mit kritischem Schweregrad.
Orangefarbene Punkte: stehen für Signaturereignisse mit hohem Schweregrad.
Gelbe Punkte: stehen für Signaturereignisse mit mittlerem Schweregrad.
Graue Punkte: stehen für Signaturereignisse mit geringem Schweregrad.
Violett – steht für Signaturereignisse mit verdächtigem Schweregrad.

Alle Eindringversuche für eine bestimmte Signatur werden bei ihrem ersten Auftreten gruppiert und aufgezeichnet.

Klicken Sie auf den Pfeil neben einem Ereignis, um Details anzuzeigen.

Detail	Beschreibung
Auswirkungsbewertung	Die Auswirkungsbewertung ist der kombinierte Wert aus der Risikobewertung (Schweregrad der Bedrohung) und der Konfidenzbewertung (Wahrscheinlichkeit, dass die Erkennung korrekt ist).
Schweregrad	Signaturschweregrad des Eindringversuchs.
Zuletzt erkannt	Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde.
Details	Kurze Beschreibung des Ziels der Signatur.
Betroffene Benutzer	Anzahl der Benutzer, die von dem Ereignis betroffen waren.
Arbeitslasten	Anzahl der betroffenen Arbeitslasten. Klicken Sie, um die Details zu den betroffenen Arbeitslasten anzuzeigen.
CVE-Details	CVE-Referenz der Schwachstelle, auf die der Exploit ausgerichtet ist.
CVSS	Common Vulnerability Score der Schwachstelle, auf die der Exploit ausgerichtet ist.
Details zum Eindringungsereignis (letztes Auftreten) – Quelle	IP-Adresse des Angreifers und des verwendeten Quellports.
Details zum Eindringungsereignis (letztes Auftreten) – Gateway	Edge-Knotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde.
Details zum Eindringungsereignis (letztes Auftreten) – Hypervisor	Transportknotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde.
Details zum Eindringungsereignis (letztes Auftreten) – Ziel	IP-Adresse des Opfers und des verwendeten Zielports.
Angriffsrichtung	Client-Server oder Server-Client.
Angriffsziel	Ziel des Angriffs.
Angriffstyp	Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS).
Betroffenes Produkt	Zeigt, welches Produkt für den Exploit anfällig ist.
Ereignisse gesamt	Gesamtanzahl der Eindringversuche für das Ereignis.
Eindringaktivität	Zeigt an, wie oft die jeweilige IDS-Signatur ausgelöst wurde, wann sie zuletzt aufgetreten ist und wann sie zuerst aufgetreten ist.
Dienst	Protokollinformationen im Zusammenhang mit dem Ereignis.
Signatur-ID	Eindeutige ID der IDS-Signatur.
Signaturrevision	Die Revisionsnummer der IDS-Signatur.
Mitre-Technik	MITRE ATT&CK-Verfahren zur Beschreibung der erkannten Aktivität.
Mitre-Taktik	MITRE ATT&CK-Taktik zur Beschreibung der erkannten Aktivität.
Zugeordnete IDS-Regel	Klickbarer Link zu der konfigurierten IDS-Regel, die zu diesem Ereignis führte.

Um den vollständigen Verlauf für Eindringversuche anzuzeigen, klicken Sie auf den Link Vollständigen Ereignisverlauf anzeigen. Es wird ein Fenster mit den folgenden Details geöffnet:

Detail	Beschreibung
Erkennungszeit	Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde.
Datenverkehrstyp	Dieser kann „Verteilt“ oder „Gateway“ lauten. „Verteilt“ gibt den horizontalen Datenverkehrsfluss an, und „Gateway“ gibt den vertikalen Datenverkehrsfluss an.
Betroffene Arbeitslasten/IPs	Anzahl der virtuellen Maschinen oder IP-Adressen, die den jeweiligen Angriff oder die Schwachstelle für einen bestimmten Datenverkehrsfluss erreicht haben.
Versuche	Anzahl der Eindringversuche für einen Angriff oder eine Schwachstelle während eines bestimmten Datenverkehrsflusses.
Quelle	IP-Adresse des Angreifers.
Ziel	IP-Adresse des Opfers.
Protokoll	Datenverkehrsprotokoll der erkannten Eindringung.
Regel	Regel, zu der die Signatur gehört (über das Profil).
Profil	Profil, zu dem die Signatur gehört.
Aktion	Eine der folgenden Aktionen, die für das Ereignis ausgelöst wurde: Verwerfen Ablehnen Warnung

Sie können den Verlauf der Eindringversuche auch anhand der folgenden Kriterien filtern:

Aktion
Ziel-IP
Zielport
Protokoll
Regel
Quell-IP
Quellport
Datenverkehrstyp

Remoteprotokollierung

NSX-T Data Center-Komponenten schreiben in Protokolldateien des Verzeichnisses /var/log. Auf NSX-T Data Center-Appliances und KVM-Hosts sind NSX-T Data Center-Syslog-Meldungen mit RFC 5424 konform. Auf ESXi-Hosts sind die Syslog-Meldungen mit RFC 3164 konform.

Es gibt drei Ereignisprotokolldateien im Ordner /var/log/nsx-idps auf ESXi-Hosts:

Schnellprotokoll – enthält die interne Protokollierung von nsx-idps-Prozessereignissen mit begrenzten Informationen und wird nur für das Debugging verwendet.
nsx-idps-log – Enthält allgemeine nsx-idps-Prozessprotokolle mit grundlegenden Informationen und Fehlern zum Prozessworkflow.
nsx-idps-events.log – enthält detaillierte Informationen zu Ereignissen (alle Warnungen/Verwerfungen/Ablehnungen) mit NSX-Metadaten.

Verwenden Sie folgende APIs, um das Senden von NSX-T Data Center-IDS/IPS-Protokollen an ein zentrales Protokoll-Repository zu aktivieren.

Führen Sie die folgende API aus, um die aktuellen Einstellungen abzufragen.

GET https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

{
   ...
   "global_idsevents_to_syslog_enabled": false,
   ...
 }

Sofern die Variable global_idsevents_to_syslog.enabled auf „false“ festgelegt ist, führen Sie die folgende API aus, um „true“ festzulegen.

PUT https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

Result:
    {
      "global_idsevents_to_syslog_enabled": true,
      "_revision": <revision number from GET>
     }

Diese Ereignisse werden direkt von ESXi-Hosts exportiert. Stellen Sie daher sicher, dass Remote-Syslog auf dem ESXi Host konfiguriert ist.

Sie müssen auch sicherstellen, dass der NSX-T Data Center-Manager und ESXi-Hosts auch so eingerichtet sind, dass syslog-Meldungen an das zentrale Protokoll-Repository weitergeleitet werden.

Weitere Informationen zum Konfigurieren der Remoteprotokollierung finden Sie unter Konfigurieren der Remoteprotokollierung und allen zugehörigen Informationen im Abschnitt Protokollmeldungen und Fehlercodes.