Sie können Ereignisse überwachen und Daten der letzten 14 Tage anzeigen.

Navigieren Sie zum Anzeigen von Eindringereignissen zu Sicherheit > IDS/IPS. Sie können die Ereignisse basierend auf den folgenden Kriterien filtern:
  • Filterkriterien. Wählen Sie aus den folgenden Optionen aus:
    Filterkriterien Beschreibung
    Angriffsziel Ziel des Angriffs.
    Angriffstyp Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS).
    CVSS Common Vulnerability Score (Filterung basierend auf einer Punktzahl über einem festgelegten Schwellenwert).
    Gateway-Name Der Gateway-Name, auf dem das Ereignis registriert wurde.
    IP-Adresse IP-Adresse, auf der das Ereignis registriert wurde.
    Betroffenes Produkt Angreifbares Produkt (Version), z. B. Windows XP oder Webbrowser.
    Signatur-ID Eindeutige ID der Signaturregel.
    VM-Name Die VM (basierend auf dem logischen Port), auf der das Ereignis registriert wurde.
  • Datenverkehr. Wählen Sie aus den folgenden Optionen aus:
    • Gesamter Datenverkehr
    • Nur verteilt
    • Nur Gateway
  • Signaturaktionen. Wählen Sie aus den folgenden Optionen aus:
    • Alle Signaturen anzeigen
    • Verworfen (verhindert)
    • Abgelehnt (verhindert)
    • Warnung (nur Erkennung)
  • Schweregradbewertung. Wählen Sie aus den folgenden Optionen aus:
    • Kritisch
    • Hoch
    • Mittel
    • Niedrig
    • Verdächtig

Sie können auf den Schalter Zeitachse klicken, um das auf Schweregradbewertungen basierende Zeitachsendiagramm anzuzeigen oder auszublenden. Das Diagramm zeigt Ereignisse, die in einem ausgewählten Zeitraum stattgefunden haben. Sie können das spezifische Zeitfenster in diesem Diagramm vergrößern, um Details zu den Signaturen der zugehörige Ereignisse anzuzeigen, die während des Zeitfensters aufgetreten sind.

Im Zeitachsendiagramm geben farbige Punkte den eindeutigen Typ der Eindringereignisse an. Sie können darauf klicken, um Details anzuzeigen. Die Größe des Punktes gibt an, wie oft ein Eindringereignis erkannt wurde. Ein blinkender Punkt weist darauf hin, dass gerade ein Angriff stattfindet. Zeigen Sie auf einen Punkt, um den Angriffsnamen, die Anzahl von Versuchen, das erste Auftreten und weitere Details anzuzeigen.
  • Rote Punkte: stehen für Signaturereignisse mit kritischem Schweregrad.
  • Orangefarbene Punkte: stehen für Signaturereignisse mit hohem Schweregrad.
  • Gelbe Punkte: stehen für Signaturereignisse mit mittlerem Schweregrad.
  • Graue Punkte: stehen für Signaturereignisse mit geringem Schweregrad.
  • Violett – steht für Signaturereignisse mit verdächtigem Schweregrad.

Alle Eindringversuche für eine bestimmte Signatur werden bei ihrem ersten Auftreten gruppiert und aufgezeichnet.

Klicken Sie auf den Pfeil neben einem Ereignis, um Details anzuzeigen.
Detail Beschreibung
Auswirkungsbewertung

Die Auswirkungsbewertung ist der kombinierte Wert aus der Risikobewertung (Schweregrad der Bedrohung) und der Konfidenzbewertung (Wahrscheinlichkeit, dass die Erkennung korrekt ist).
Schweregrad Signaturschweregrad des Eindringversuchs.
Zuletzt erkannt Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde.
Details Kurze Beschreibung des Ziels der Signatur.
Betroffene Benutzer Anzahl der Benutzer, die von dem Ereignis betroffen waren.
Arbeitslasten Anzahl der betroffenen Arbeitslasten. Klicken Sie, um die Details zu den betroffenen Arbeitslasten anzuzeigen.
CVE-Details

CVE-Referenz der Schwachstelle, auf die der Exploit ausgerichtet ist.
CVSS

Common Vulnerability Score der Schwachstelle, auf die der Exploit ausgerichtet ist.
Details zum Eindringungsereignis (letztes Auftreten) – Quelle IP-Adresse des Angreifers und des verwendeten Quellports.
Details zum Eindringungsereignis (letztes Auftreten) – Gateway Edge-Knotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde.
Details zum Eindringungsereignis (letztes Auftreten) – Hypervisor Transportknotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde.
Details zum Eindringungsereignis (letztes Auftreten) – Ziel IP-Adresse des Opfers und des verwendeten Zielports.
Angriffsrichtung Client-Server oder Server-Client.
Angriffsziel Ziel des Angriffs.
Angriffstyp Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS).
Betroffenes Produkt Zeigt, welches Produkt für den Exploit anfällig ist.
Ereignisse gesamt Gesamtanzahl der Eindringversuche für das Ereignis.
Eindringaktivität Zeigt an, wie oft die jeweilige IDS-Signatur ausgelöst wurde, wann sie zuletzt aufgetreten ist und wann sie zuerst aufgetreten ist.
Dienst Protokollinformationen im Zusammenhang mit dem Ereignis.
Signatur-ID

Eindeutige ID der IDS-Signatur.
Signaturrevision Die Revisionsnummer der IDS-Signatur.
Mitre-Technik MITRE ATT&CK-Verfahren zur Beschreibung der erkannten Aktivität.
Mitre-Taktik MITRE ATT&CK-Taktik zur Beschreibung der erkannten Aktivität.
Zugeordnete IDS-Regel Klickbarer Link zu der konfigurierten IDS-Regel, die zu diesem Ereignis führte.
Um den vollständigen Verlauf für Eindringversuche anzuzeigen, klicken Sie auf den Link Vollständigen Ereignisverlauf anzeigen. Es wird ein Fenster mit den folgenden Details geöffnet:
Detail Beschreibung
Erkennungszeit Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde.
Datenverkehrstyp

Dieser kann „Verteilt“ oder „Gateway“ lauten. „Verteilt“ gibt den horizontalen Datenverkehrsfluss an, und „Gateway“ gibt den vertikalen Datenverkehrsfluss an.
Betroffene Arbeitslasten/IPs Anzahl der virtuellen Maschinen oder IP-Adressen, die den jeweiligen Angriff oder die Schwachstelle für einen bestimmten Datenverkehrsfluss erreicht haben.
Versuche Anzahl der Eindringversuche für einen Angriff oder eine Schwachstelle während eines bestimmten Datenverkehrsflusses.
Quelle IP-Adresse des Angreifers.
Ziel IP-Adresse des Opfers.
Protokoll Datenverkehrsprotokoll der erkannten Eindringung.
Regel Regel, zu der die Signatur gehört (über das Profil).
Profil Profil, zu dem die Signatur gehört.
Aktion Eine der folgenden Aktionen, die für das Ereignis ausgelöst wurde:
  • Verwerfen
  • Ablehnen
  • Warnung
Sie können den Verlauf der Eindringversuche auch anhand der folgenden Kriterien filtern:
  • Aktion
  • Ziel-IP
  • Zielport
  • Protokoll
  • Regel
  • Quell-IP
  • Quellport
  • Datenverkehrstyp

Protokollierung

NSX-Komponenten schreiben in Protokolldateien des Verzeichnisses /var/log. Auf NSX-Anwendungen sind die NSX-Syslog-Meldungen mit RFC 5424 konform. Auf ESXi-Hosts sind die Syslog-Meldungen mit RFC 3164 konform.

Es gibt zwei IDS/IPS-bezogene, lokale Ereignisprotokolldateien im Ordner /var/log/nsx-idps auf ESXi-Hosts:
  • fast.log – Enthält die interne Protokollierung von nsx-idps-Prozessereignissen mit begrenzten Informationen und wird nur für Debugging-Zwecke verwendet.
  • nsx-idps-events.log – enthält detaillierte Informationen zu Ereignissen (alle Warnungen/Verwerfungen/Ablehnungen) mit NSX-Metadaten.
Multi-Tenant-Funktion
Ab NSX 4.1.1 wird die Multi-Tenant-Funktion auch für NSX IDS/IPS unterstützt.

Der Mandantenkontext wird während der Verarbeitung von Konfigurationsmeldungen protokolliert. Der Kontext wird für die folgenden Meldungen protokolliert:

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg – Die Regelmeldung enthält nicht direkt den Mandantenkontext. Sie wird von RuleSectioMsg abgerufen.
  5. GlobalConfigMsg

Diese Protokolle werden unter /var/log/nsx-syslog.log gespeichert. Wenn die VPC oder das Projekt fehlt, werden leere Zeichenfolgen in den Mandantenkontextfeldern gedruckt. Wenn die Organisation fehlt, wird keines der drei Mandantenkontextfelder gedruckt.

Weitere Informationen zur Multi-Tenant-Funktion finden Sie unter NSX Multi-Tenant-Funktion.
Protokollierungs-APIs

Standardmäßig ist das IDS/IPS-Syslog nicht aktiviert. Führen Sie die folgende API aus, um die aktuellen Einstellungen abzufragen.

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Beispielantwort:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

Um das Senden von NSX IDS/IPS-Protokollen an ein zentrales Protokoll-Repository zu ermöglichen, führen Sie die folgende API aus und legen Sie die Variable ids_events_to_syslog auf true fest.

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Beispielanforderung:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

Diese Ereignisse werden direkt von ESXi-Hosts exportiert. Stellen Sie daher sicher, dass Remote-Syslog auf dem ESXi-Host konfiguriert ist. Sie müssen auch sicherstellen, dass der NSX-Manager und ESXi-Hosts auch so eingerichtet sind, dass syslog-Meldungen an das zentrale Protokoll-Repository weitergeleitet werden.

Informationen zu den IDs/IPS-APIs finden Sie im NSX-API-Handbuch. Weitere Informationen zum Konfigurieren der Remoteprotokollierung finden Sie unter Konfigurieren der Remoteprotokollierung und allen zugehörigen Informationen im Abschnitt Protokollmeldungen und Fehlercodes.