Ab NSX-T Data Center 3.2 hilft Ihnen das neue Design des Sicherheits-Dashboards dabei, Funktionen zum Schutz Ihres Netzwerks und Ihrer Arbeitslasten zu konfigurieren. Das Dashboard Sicherheitsübersicht zeigt verschiedene Funktionen zur Bedrohungserkennung und Reaktion, eine visuelle Übersicht über die gesamte Sicherheitskonfiguration und die Kapazität der verschiedenen Objekte in der NSX-T Data Center-Umgebung an.
Die auf diesem Dashboard angezeigten Informationen hängen von den Sicherheitsfunktionen ab, die in Ihrem Datencenter bereitgestellt und aktiviert werden.
Bedrohungserkennung und Reaktion
Diese Registerkarte bietet wichtige Einblicke in den aktuellen Status verschiedener Sicherheitsprobleme in Ihrem Datencenter. Diese Funktionen helfen Sicherheitsteams zu verstehen, was im Netzwerk vor sich geht und worauf sie besonders achten müssen.
- Aktivitäten
-
Bei einer Aktivität handelt es sich um eine Reihe verwandter Bedrohungsereignisse, die bestimmte MITRE-Taktiken und ‑Techniken anwenden. Die Bedrohungsereignisse können MITRE ATT&CK-Phasen zugeordnet werden, um eine Angriffsstory zu definieren. Die Aktivität kann von einer einzelnen Gruppe von Erkennungsereignissen über einen kurzen Zeitraum bis hin zu komplexen, mehrschichtigen Angriffen über einen längeren Zeitraum reichen. Mit einer Aktivität können Sie die gesamte Zeitachse für Bedrohungsereignisse anzeigen, sodass Sie schnell reagieren und sie anpassen können.
Wenn die VMware NSX® Network Detection and Response™-Funktion aktiviert ist, zeigt dieses Widget die folgenden Aktivitätsstatistiken an.- Die Gesamtanzahl der Aktivitäten, die NSX Network Detection and Response während des Zeitraums erkannt hat und die derzeit in Ihrem Netzwerk aktiv sind.
- Die Gesamtanzahl der Aktivitäten mit hoher Auswirkung, die während des ausgewählten Zeitraums ausgeführt werden.
- Die Gesamtanzahl der offenen Aktivitäten mit hoher Auswirkung während des ausgewählten Zeitraums.
- Die Gesamtanzahl der VMs, die von den während des ausgewählten Zeitraums identifizierten Aktivitäten betroffen sind.
Klicken Sie auf Zu „Aktivitäten“, um auf der Seite Aktivitäten der NSX Network Detection and Response-Benutzeroberfläche weitere Details anzuzeigen. Weitere Informationen zur NSX Network Detection and Response-Funktion finden Sie unter NSX Network Detection and Response.
- IDS/IPS
-
- Auf dem Bildschirm „Übersicht über IDS/IPS“ wird Folgendes angezeigt:
-
Eintrag Beschreibung Ereignisse mit Eindringversuch Zeigt die Gesamtanzahl der Ereignisse mit Eindringversuch als anklickbaren Link an sowie die Anzahl der Eindringversuche, die zu Warnungen oder Schutz geführt haben. Eindeutige Signaturen für Eindringversuche Zeigt ein Diagramm mit der Anzahl der erkannten Eindringversuche in jeder Schweregradkategorie an. Ereignisse nach Top-Angriffstypen Zeigt ein Diagramm basierend auf Angriffstypen an. - Übersicht über verteilte IDS/IPS
Eintrag Beschreibung Trend nach Eindringschweregrad Zeigt ein Diagramm mit dem Trend für den Schweregrad und der Anzahl der Eindringereignisse im Zeitverlauf an. Verteilung Zeigt ein Netzdiagramm an, das die Verteilung basierend auf Angriffstyp, Angriffsziel oder Schweregrad über einen Zeitraum von 48 Stunden bis 14 Tagen darstellt.
Top-VMs Zeigt die häufigsten VMs an, auf denen ein Eindringversuch unternommen wurde. - Übersicht über Gateway IDS/IPS
Eintrag Beschreibung Trend nach Eindringschweregrad Zeigt ein Diagramm mit dem Trend für den Schweregrad und der Anzahl der Eindringereignisse im Zeitverlauf an. Verteilung Zeigt ein Netzdiagramm an, das die Verteilung basierend auf Angriffstyp, Angriffsziel oder Schweregrad über einen Zeitraum von 48 Stunden bis 14 Tagen darstellt.
Top-IPs Zeigt die häufigsten IPs an, auf denen ein Eindringversuch unternommen wurde.
- FQDN-Analyse
-
Auf dem Übersichtsbildschirm für die FQDN-Analyse wird Folgendes angezeigt:
- Die Gesamtanzahl der überprüften URLs mit ihrem jeweiligen Schweregrad.
- Die wichtigsten URL-Kategorien mit der größten Anzahl überprüfter FQDNs.
- Die URLs mit dem höchsten Schweregrad, zusammen mit Datum und Uhrzeit.
- URL-Filterung
-
Wählen Sie ein bestimmtes Gateway oder alle Gateways aus, um die folgenden Informationen anzuzeigen:
- Verteilung der URLs nach Schweregradbewertung.
- Schweregrad der zulässigen URLs sowie die fünf Kategorien mit der größten Anzahl überprüfter URLs
- Zeigt die fünf URL-Kategorien mit der größten Anzahl blockierter URLs an.
- Die Verteilung der eindeutigen Sites zeigt die fünf Sites mit der größten Anzahl zulässiger URLs an. Zeigt die fünf Sites mit der größten Anzahl blockierter URLs an.
- Malware-Schutz
-
Zeigt die folgenden Dateiereignisse für einen ausgewählten Zeitraum in einem grafischen Format an:
- Gesamtanzahl der überprüften Dateiereignisse, schädlichen Dateiereignisse, verdächtigen Dateiereignisse und blockierten Dateien.
- Anzahl der Dateiüberprüfungen für verschiedene Bereiche der Bedrohungsbewertung.
- Die fünf zuletzt überprüften Dateien im Datencenter sind nach Zeitstempel sortiert.
- Die fünf wichtigsten schädlichen Dateien, die im Datencenter erkannt wurden.
- Trend bei schädlichen Dateiereignissen, verdächtigen Dateiereignissen und unterdrückten Dateiereignissen im Datencenter.
- Verteilung von Dateiüberprüfungen basierend auf der Malware-Familie, zu der die Dateien gehören.
- Aufschlüsselung der Dateiüberprüfungen nach Art der durchgeführten Analyse (lokale Dateianalyse, Cloud-Dateianalyse).
- Verdächtige Netzwerkaktivität
-
Wenn VMware NSX® Intelligence™ aktiviert ist, zeigt diese Registerkarte die folgenden Statistiken (im grafischen Format) zu verdächtigen oder ungewöhnlichen Ereignissen an, die während des ausgewählten Zeitraums erkannt wurden.
- Ein Kreis zeigt die Gesamtanzahl der während des ausgewählten Zeitraums erkannten Anomalien an. Der Kreis besteht aus farbigen Segmenten. Diese stellen die Anzahl der erkannten ungewöhnlichen Ereignisse und die MITRE-Angriffstaktiken und ‑Techniken dar, die zum Erkennen der Ereignisse verwendet werden.
- Eine Liste der erkannten verdächtigen Ereignisse, die in denselben MITRE-Taktiken und ‑Techniken kategorisiert sind, die bei der Erkennung verwendet wurden, sowie die Anzahl der während des ausgewählten Zeitraums aufgetretenen Ereignisse.
- Ein Balkendiagramm mit der Anzahl der erkannten Anomalien, kategorisiert nach Schweregrad.
Klicken Sie auf Alle anzeigen, um weitere Informationen zu den erkannten verdächtigen Ereignissen auf der Seite Verdächtiger Datenverkehr anzuzeigen. Weitere Informationen zur NSX Suspicious Traffic-Funktion finden Sie in der Dokumentation für Verwenden und Verwalten von VMware NSX Intelligence Version 3.2 und höher unter https://docs.vmware.com/de/VMware-NSX-Intelligence/index.html.
- TLS-Prüfung
-
Die TLS-Überprüfung und ‑Entschlüsselung bietet eine sichere Möglichkeit der gezielten Erkennung eingehender Bedrohungen im Webdatenverkehr des Unternehmens. Die Funktion verwendet TLS-Proxy, um verschlüsselten Datenverkehr über TLS-Verbindungen transparent abzufangen, und ermöglicht es NSX-Sicherheitsdiensten wie Firewalls der Schicht 7, IDS und URL-Filterung, Inhalte zu überprüfen und die Sicherheitsrichtlinien zu erzwingen. Sie können einen Assistenten verwenden oder den Workflow manuell befolgen, um Ihre Richtlinie und Regeln festzulegen. Ab NSX-T Data Center 3.2.1 ist diese Funktion in Produktionsumgebungen verfügbar und erhält vollständigen Support. In NSX-T Data Center 3.2.0 war diese Funktion nur im Tech-Vorschaumodus verfügbar. Einzelheiten dazu finden Sie unter TLS-Prüfung und Versionshinweise für NSX-T Data Center.
Das Dashboard „Sicherheitsübersicht“ zeigt die folgenden TLS-Verbindungs- und Zertifikatdetails an, wenn diese aktiviert sind.- Das Ringdiagramm zeigt die Details der TLS-Verbindungsübersicht, einschließlich:
- Wegen Fehlern umgangen
- Entschlüsselt
- Verbindungsfehler
- Wegen Regeln umgangen
- Verbindungen und Regeln
- Verbindungen insgesamt
- Offene Verbindungen
- CPS
- Regeltreffer
- Das Ringdiagramm zeigt die Details zum Zwischenspeichern von Zertifikaten, einschließlich:
- Zwischengespeicherte Treffer
- Zwischengespeicherte Zertifikate
- Zwischengespeicherte Fehler
- Datenverkehr
- Durchsatzdetails einschließlich Client zu Server und Server zu Client
- Details zum gesamten Datenverkehr, einschließlich Client zu Server und Server zu Client
- Das Ringdiagramm zeigt die Details der TLS-Verbindungsübersicht, einschließlich:
Konfiguration
- Firewall-Richtlinien
- Endpoint-Richtlinien
- IDS-/IPS-Richtlinien
- Malware-Schutz-Richtlinien
- Netzwerk-Introspektions-Richtlinien
- TLS-Prüfungsrichtlinien
Diese Seite bietet auch detaillierte Ansichten der Sicherheitseinstellungen für:
- Widget „Gateway-Firewall“
-
Hebt die Sicherheitseinstellungen der Gateway-Firewall hervor. Klicken Sie auf die Links, um die Gateways anzuzeigen, auf denen die folgenden Sicherheitsfunktionen aktiviert sind:
- IDS/IPS
- Malware-Schutz
- TLS-Prüfung
Um die Gateways mit diesen Sicherheitsfunktionen anzuzeigen, muss mindestens eine der oben genannten Sicherheitsfunktionen in Ihrem Datencenter bereitgestellt werden.
- Widget der verteilten Firewall
- Widget „Endpoint-Schutz“
-
Zeigt eine Übersicht über die Konfiguration des Endpoint-Schutzes für virtuelle Maschinen an. Sie können die VM-Verteilung nach Dienstprofil, Komponenten mit Problemen und konfigurierten VMs, die Datei-Introspektion ausführen, anzeigen.
- Widget „Benutzersitzungen für identitätsbasierte Firewall“
- Zeigt die Anzahl der aktiven IDFW-Benutzersitzungen an.
- Widget „Malware-Schutz“
-
Dieses Benutzeroberflächen-Widget zeigt Probleme an, wenn eine der Komponenten für den NSX Distributed Malware Prevention-Dienst nicht verfügbar ist oder nicht funktioniert.
Beispiel:- Das Balkendiagramm zeigt ein Problem an, wenn der Sicherheits-Hub auf der virtuellen NSX Malware-Schutz-Dienstmaschine (SVM) inaktiv ist. Zeigen Sie auf die Leiste, um die folgenden Details anzuzeigen:
- Anzahl der betroffenen NSX Malware-Schutz-SVMs.
- Anzahl der Arbeitslast-VMs auf dem Host, die den Malware-Schutz verloren haben, weil der Sicherheits-Hub ausgefallen ist.
- Das Ringdiagramm zeigt die folgenden Details an:
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber ausgeführt wird.
- Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber nicht ausgeführt wird.
Für diese beiden Metriken werden nur die Arbeitslast-VMs auf den Hostclustern berücksichtigt, die für NSX Distributed Malware Prevention aktiviert sind.
- Das Balkendiagramm zeigt ein Problem an, wenn der Sicherheits-Hub auf der virtuellen NSX Malware-Schutz-Dienstmaschine (SVM) inaktiv ist. Zeigen Sie auf die Leiste, um die folgenden Details anzuzeigen:
Kapazität
- Vertikale Introspektionsregeln für Tier-1
- Active Directory-Domänen (Identitäts-Firewall)
- Dienstketten
- Richtlinien für horizontale Introspektion
- Gespeicherte Konfiguration der Firewallregeln
- Richtlinien für vertikale Introspektion von Tier-0
- Dienstpfade für Introspektion
- Systemweite Firewallregeln
- Vertikale Introspektionsregeln für Tier-0
- Horizontale Introspektionsregeln
- Systemweite VMs mit aktiviertem Endpoint-Schutz
- Richtlinien für vertikale Introspektion von Tier-1
- Abschnitte der verteilten Firewall
- Systemweite Firewallabschnitte
- Active Directory-Domänen (Identitäts-Firewall)
- Systemweite Hosts mit aktiviertem Endpoint-Schutz
- Regeln für verteilte Firewall