Wenn die Protokollierung für NSX-T-IDS/-IPS aktiviert ist, können Sie die Protokolldateien überprüfen, um Probleme zu beheben.
Nachfolgend finden Sie eine Beispielprotokolldatei für die NSX-T-IDS/-IPS unter /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| Feld | Beschreibung |
|---|---|
| Zeitstempel | Der Zeitstempel des Pakets, auf dem die Warnung ausgelöst wurde. |
| flow_id | Der eindeutige Bezeichner für jeden Flow, der von nsx-idps nachverfolgt wird. |
| event_type | Der von der IDPS-Engine generierte Ereignistyp. Bei Warnungen lautet der Ereignistyp immer „Warnung“ (unabhängig von der durchgeführten Aktion). |
| src_ip | Die Quell-IP des Pakets, auf dem die Warnung ausgelöst wurde. Je nach den Warnungsmerkmalen kann dies die Adresse des Clients oder des Servers sein. Informationen zum Ermitteln des Clients finden Sie im Feld „Richtung“. |
| src_port | Der Quellport des Pakets, auf dem die Warnung ausgelöst wurde. |
| dest_ip | Die Ziel-IP des Pakets, auf dem die Warnung ausgelöst wurde. |
| dest_port | Der Zielport des Pakets, auf dem die Warnung ausgelöst wurde. |
| proto | Das IP-Protokoll des Pakets, auf dem die Warnung ausgelöst wurde. |
| direction | Die Richtung des Pakets im Vergleich zur Flow-Richtung. Der Wert lautet für ein Paket, das vom Client zum Server fließt, „to_server“ und „to_client“ für ein Paket, das vom Server zum Client fließt. |
Alle Felder, die nicht in der NSX Metadat-Tabelle enthalten sind, sind nur für die interne Verwendung vorgesehen.
| NSX-Metadaten | Beschreibung |
|---|---|
| metadata.flowbits und metadata.flowints | Dieses Feld stellt ein Speicherabbild des internen Flow-Zustands dar. Die Variablen werden dynamisch durch verschiedene Signaturen oder Lua-Skripts festgelegt, die auf dem jeweiligen Flow ausgeführt werden. Die Semantik und die Art der Felder sind in erster Linie intern und können je nach IDS-Paketaktualisierung variieren. |
| nsx_metadata.flow_src_ip | Die IP-Adresse des Clients. Kann durch einen Blick auf die Paket-Endpoints und die Paketrichtung abgeleitet werden. |
| nsx_metadata.flow_dest_ip | Die IP-Adresse des Servers. |
| nsx_metadata.flow_dir | Die Richtung des Flows in Bezug auf die ursprüngliche virtuelle Maschine. Der Wert beträgt 1 für Flows, die bei der überwachten virtuellen Maschine eingehen, und 2 für Flows, die von der überwachten virtuellen Maschine ausgehen. |
| nsx_metadata.rule_id | Die DFW::IDS-Regel-ID, mit der das Paket übereinstimmt. |
| nsx_metadata.profile_id | Die Kontextprofil-ID, die von der übereinstimmenden Regel verwendet wurde. |
| nsx_metadata.user_id | Die Benutzer-ID, deren Datenverkehr das Ereignis generiert hat. |
| nsx_metadata.vm_uuid | Der Bezeichner der virtuellen Maschine, deren Datenverkehr das Ereignis generiert hat. |
| alert.action | Die von nsx-idps im Paket durchgeführte Aktion (zulässig/blockiert). Hängt von der konfigurierten Regelaktion ab. |
| alert.gid, alert.signature_id, alert.rev | Der Bezeichner der Signatur und deren Revision. Eine Signatur kann denselben Bezeichner beibehalten und auf eine neuere Version aktualisiert werden, indem die Revision erhöht wird. |
| alert.signature | Eine kurze Beschreibung der erkannten Bedrohung. |
| alert.category | Die Kategorie der erkannten Bedrohung. Dies ist in der Regel eine sehr grobe/ungenaue Kategorisierung. Modusdetails finden Sie in „alert.metadata“. |
| alert.severity | Die Priorität der Signatur, wie aus der Warnungskategorie abgeleitet. Warnungen mit höherer Priorität sind in der Regel mit schwerwiegenderen Bedrohungen verbunden. |
| alert.source/alert.target | Informationen zur Angriffsrichtung stimmen nicht notwendigerweise mit der Flow-Richtung überein. Die Quelle des Alarms ist der angreifende Endpoint, während das Ziel des Alarms das Angriffsziel ist. |
| alert.metadata.detector_id | Ein interner Bezeichner der Erkennung, der von der NDR-Komponente verwendet wird, um Bedrohungsmetadaten und -dokumentation zu verknüpfen. |
| alert.metadata.severity | Bereich 0–100 des Bedrohungsschweregrads. Dieser Wert ist eine Funktion des alert.metadata.threat_class_name. |
| alert.metadata.confidence | Bereich 0–100 des Vertrauensgrades bezüglich der Erkennungsrichtigkeit. Signaturen, die trotz des Potenzials für falsch positive Signaturen freigegeben werden, melden einen niedrigen Vertrauensgrad (< 50). |
| alert.metadata.exploited | Ein Modifizierer, der ausdrückt, ob es sich bei dem aufgrund der Erkennung gemeldeten Angreifer wahrscheinlich um einen kompromittierten Host handelt (d. h. Endpoint-Informationen sollten nicht als zuverlässiges IoC betrachtet werden). |
| alert.metadata.blacklist_mode | Nur intern. |
| alert.metadata.ids_mode | Der Betriebsmodus für die Signatur. Aktuell mögliche Werte sind REAL (erzeugt Erkennungen im Realmodus im NDR-Produkt) und INFO (erzeugt Erkennungen im Infomodus im NDR-Produkt). |
| alert.metadata.threat_name | Der Name der erkannten Bedrohung. Der Bedrohungsname wird im Kontext des NDR-Produkts als Teil einer gut definierten Ontologie kuratiert und ist die zuverlässigste Informationsquelle für die Art des Angriffs. |
| alert.metadata.threat_class_name | Name der hochrangigen Klasse des Angriffs, auf den sich die Bedrohung bezieht. Bedrohungsklassen sind hochrangige Kategorien mit Werten wie „command&control“, „drive-by“ und „exploit“. |
| alert.metadata.server_side | Ein Modifizierer, der ausdrückt, ob die Bedrohung Server oder Clients beeinträchtigen soll. Dies entspricht den Informationen, die in den Attributen „alert.source“ und „alert.target“ ausgedrückt werden. |
| alert.metadata.flip_endpoints | Ein Modifizierer, der ausdrückt, ob die Signatur bei Paketen übereinstimmen soll, die vom Server zum Client und nicht vom Client zum Server fließen. |
| alert.metadata.ll_expected_verifier | Nur intern. |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | Informationen zur Anzahl der Pakete/Byte, die zum Zeitpunkt der Warnung in einem bestimmten Flow vorhanden waren. Beachten Sie, dass diese Informationen nicht der Gesamtmenge der Pakete entspricht, die zum Flow gehören. Diese Informationen drücken die Teilanzahl zu dem Zeitpunkt aus, zu dem die Warnung generiert wurde. |
| flow.start | Der Zeitstempel des ersten dem Flow zugehörigen Pakets. |
