Sie können Ereignisse überwachen und Daten der letzten 14 Tage anzeigen.
- Filterkriterien. Wählen Sie aus den folgenden Optionen aus:
Filterkriterien Beschreibung Angriffsziel Ziel des Angriffs. Angriffstyp Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS). CVSS Common Vulnerability Score (Filterung basierend auf einer Punktzahl über einem festgelegten Schwellenwert). Gateway-Name Der Gateway-Name, auf dem das Ereignis registriert wurde. IP-Adresse IP-Adresse, auf der das Ereignis registriert wurde. Betroffenes Produkt Angreifbares Produkt (Version), z. B. Windows XP oder Webbrowser. Signatur-ID Eindeutige ID der Signaturregel. VM-Name Die VM (basierend auf dem logischen Port), auf der das Ereignis registriert wurde. - Datenverkehr. Wählen Sie aus den folgenden Optionen aus:
- Gesamter Datenverkehr
- Nur verteilt
- Nur Gateway
- Signaturaktionen. Wählen Sie aus den folgenden Optionen aus:
- Alle Signaturen anzeigen
- Verworfen (verhindert)
- Abgelehnt (verhindert)
- Warnung (nur Erkennung)
- Schweregradbewertung. Wählen Sie aus den folgenden Optionen aus:
- Kritisch
- Hoch
- Mittel
- Niedrig
- Verdächtig
Sie können auf den Schalter Zeitachse klicken, um das auf Schweregradbewertungen basierende Zeitachsendiagramm anzuzeigen oder auszublenden. Das Diagramm zeigt Ereignisse, die in einem ausgewählten Zeitraum stattgefunden haben. Sie können das spezifische Zeitfenster in diesem Diagramm vergrößern, um Details zu den Signaturen der zugehörige Ereignisse anzuzeigen, die während des Zeitfensters aufgetreten sind.
- Rote Punkte: stehen für Signaturereignisse mit kritischem Schweregrad.
- Orangefarbene Punkte: stehen für Signaturereignisse mit hohem Schweregrad.
- Gelbe Punkte: stehen für Signaturereignisse mit mittlerem Schweregrad.
- Graue Punkte: stehen für Signaturereignisse mit geringem Schweregrad.
- Violett – steht für Signaturereignisse mit verdächtigem Schweregrad.
Alle Eindringversuche für eine bestimmte Signatur werden bei ihrem ersten Auftreten gruppiert und aufgezeichnet.
Detail | Beschreibung |
---|---|
Auswirkungsbewertung | Die Auswirkungsbewertung ist der kombinierte Wert aus der Risikobewertung (Schweregrad der Bedrohung) und der Konfidenzbewertung (Wahrscheinlichkeit, dass die Erkennung korrekt ist). |
Schweregrad | Signaturschweregrad des Eindringversuchs. |
Zuletzt erkannt | Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde. |
Details | Kurze Beschreibung des Ziels der Signatur. |
Betroffene Benutzer | Anzahl der Benutzer, die von dem Ereignis betroffen waren. |
Arbeitslasten | Anzahl der betroffenen Arbeitslasten. Klicken Sie, um die Details zu den betroffenen Arbeitslasten anzuzeigen. |
CVE-Details | CVE-Referenz der Schwachstelle, auf die der Exploit ausgerichtet ist. |
CVSS | Common Vulnerability Score der Schwachstelle, auf die der Exploit ausgerichtet ist. |
Details zum Eindringungsereignis (letztes Auftreten) – Quelle | IP-Adresse des Angreifers und des verwendeten Quellports. |
Details zum Eindringungsereignis (letztes Auftreten) – Gateway | Edge-Knotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde. |
Details zum Eindringungsereignis (letztes Auftreten) – Hypervisor | Transportknotendetails, die die Arbeitslast enthalten, auf der das Ereignis registriert wurde. |
Details zum Eindringungsereignis (letztes Auftreten) – Ziel | IP-Adresse des Opfers und des verwendeten Zielports. |
Angriffsrichtung | Client-Server oder Server-Client. |
Angriffsziel | Ziel des Angriffs. |
Angriffstyp | Typ des Angriffs, z. B. Trojanisches Pferd oder Denial of Service (DoS). |
Betroffenes Produkt | Zeigt, welches Produkt für den Exploit anfällig ist. |
Ereignisse gesamt | Gesamtanzahl der Eindringversuche für das Ereignis. |
Eindringaktivität | Zeigt an, wie oft die jeweilige IDS-Signatur ausgelöst wurde, wann sie zuletzt aufgetreten ist und wann sie zuerst aufgetreten ist. |
Dienst | Protokollinformationen im Zusammenhang mit dem Ereignis. |
Signatur-ID | Eindeutige ID der IDS-Signatur. |
Signaturrevision | Die Revisionsnummer der IDS-Signatur. |
Mitre-Technik | MITRE ATT&CK-Verfahren zur Beschreibung der erkannten Aktivität. |
Mitre-Taktik | MITRE ATT&CK-Taktik zur Beschreibung der erkannten Aktivität. |
Zugeordnete IDS-Regel | Klickbarer Link zu der konfigurierten IDS-Regel, die zu diesem Ereignis führte. |
Detail | Beschreibung |
---|---|
Erkennungszeit | Dies ist der letzte Zeitpunkt, zu dem die Signatur verwendet wurde. |
Datenverkehrstyp | Dieser kann „Verteilt“ oder „Gateway“ lauten. „Verteilt“ gibt den horizontalen Datenverkehrsfluss an, und „Gateway“ gibt den vertikalen Datenverkehrsfluss an. |
Betroffene Arbeitslasten/IPs | Anzahl der virtuellen Maschinen oder IP-Adressen, die den jeweiligen Angriff oder die Schwachstelle für einen bestimmten Datenverkehrsfluss erreicht haben. |
Versuche | Anzahl der Eindringversuche für einen Angriff oder eine Schwachstelle während eines bestimmten Datenverkehrsflusses. |
Quelle | IP-Adresse des Angreifers. |
Ziel | IP-Adresse des Opfers. |
Protokoll | Datenverkehrsprotokoll der erkannten Eindringung. |
Regel | Regel, zu der die Signatur gehört (über das Profil). |
Profil | Profil, zu dem die Signatur gehört. |
Aktion | Eine der folgenden Aktionen, die für das Ereignis ausgelöst wurde:
|
- Aktion
- Ziel-IP
- Zielport
- Protokoll
- Regel
- Quell-IP
- Quellport
- Datenverkehrstyp
Protokollierung
NSX-Komponenten schreiben in Protokolldateien des Verzeichnisses /var/log. Auf NSX-Anwendungen sind die NSX-Syslog-Meldungen mit RFC 5424 konform. Auf ESXi-Hosts sind die Syslog-Meldungen mit RFC 3164 konform.
- fast.log – Enthält die interne Protokollierung von nsx-idps-Prozessereignissen mit begrenzten Informationen und wird nur für Debugging-Zwecke verwendet.
- nsx-idps-events.log – enthält detaillierte Informationen zu Ereignissen (alle Warnungen/Verwerfungen/Ablehnungen) mit NSX-Metadaten.
- Multi-Tenant-Funktion
-
Ab
NSX 4.1.1 wird die Multi-Tenant-Funktion auch für
NSX IDS/IPS unterstützt.
Der Mandantenkontext wird während der Verarbeitung von Konfigurationsmeldungen protokolliert. Der Kontext wird für die folgenden Meldungen protokolliert:
- IdsSignaturesMsg
- ContextProfileMsg
- SecurityFeatureToggleMsg
- RuleMsg – Die Regelmeldung enthält nicht direkt den Mandantenkontext. Sie wird von RuleSectioMsg abgerufen.
- GlobalConfigMsg
Diese Protokolle werden unter /var/log/nsx-syslog.log gespeichert. Wenn die VPC oder das Projekt fehlt, werden leere Zeichenfolgen in den Mandantenkontextfeldern gedruckt. Wenn die Organisation fehlt, wird keines der drei Mandantenkontextfelder gedruckt.
- Protokollierungs-APIs
-
Standardmäßig ist das IDS/IPS-Syslog nicht aktiviert. Führen Sie die folgende API aus, um die aktuellen Einstellungen abzufragen.
GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Beispielantwort:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": false, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", "path": "/infra/settings/firewall/security/intrusion-services", "relative_path": "intrusion-services", "parent_path": "/infra", "unique_id": "5035623f-255e-4153-945a-cc320451e4a0", "realization_id": "5035623f-255e-4153-945a-cc320451e4a0", "marked_for_delete": false, "overridden": false, "_create_time": 1665948964775, "_create_user": "system", "_last_modified_time": 1680466910136, "_last_modified_user": "admin", "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 5 }
Um das Senden von NSX IDS/IPS-Protokollen an ein zentrales Protokoll-Repository zu ermöglichen, führen Sie die folgende API aus und legen Sie die Variable ids_events_to_syslog auf true fest.
PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Beispielanforderung:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": true, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", . . . }
Diese Ereignisse werden direkt von ESXi-Hosts exportiert. Stellen Sie daher sicher, dass Remote-Syslog auf dem ESXi-Host konfiguriert ist. Sie müssen auch sicherstellen, dass der NSX-Manager und ESXi-Hosts auch so eingerichtet sind, dass syslog-Meldungen an das zentrale Protokoll-Repository weitergeleitet werden.
Informationen zu den IDs/IPS-APIs finden Sie im NSX-API-Handbuch. Weitere Informationen zum Konfigurieren der Remoteprotokollierung finden Sie unter Konfigurieren der Remoteprotokollierung und allen zugehörigen Informationen im Abschnitt Protokollmeldungen und Fehlercodes.