Bedrohungserkennung und Reaktion

Diese Registerkarte bietet wichtige Einblicke in den aktuellen Status verschiedener Sicherheitsprobleme in Ihrem Datencenter. Diese Funktionen helfen Sicherheitsteams zu verstehen, was im Netzwerk vor sich geht und worauf sie besonders achten müssen.

Aktivitäten

Bei einer Aktivität handelt es sich um eine Reihe verwandter Bedrohungsereignisse, die bestimmte MITRE-Taktiken und ‑Techniken anwenden. Die Bedrohungsereignisse können MITRE ATT&CK-Phasen zugeordnet werden, um eine Angriffsstory zu definieren. Die Aktivität kann von einer einzelnen Gruppe von Erkennungsereignissen über einen kurzen Zeitraum bis hin zu komplexen, mehrschichtigen Angriffen über einen längeren Zeitraum reichen. Mit einer Aktivität können Sie die gesamte Zeitachse für Bedrohungsereignisse anzeigen, sodass Sie schnell reagieren und sie anpassen können.

Wenn die VMware NSX^® Network Detection and Response™-Funktion aktiviert ist, zeigt dieses Widget die folgenden Aktivitätsstatistiken an.

• Die Gesamtanzahl der Aktivitäten, die NSX Network Detection and Response während des Zeitraums erkannt hat und die derzeit in Ihrem Netzwerk aktiv sind.
• Die Gesamtanzahl der Aktivitäten mit hoher Auswirkung, die während des ausgewählten Zeitraums ausgeführt werden.
• Die Gesamtanzahl der offenen Aktivitäten mit hoher Auswirkung während des ausgewählten Zeitraums.
• Die Gesamtanzahl der VMs, die von den während des ausgewählten Zeitraums identifizierten Aktivitäten betroffen sind.

Klicken Sie auf Zu „Aktivitäten“, um auf der Seite Aktivitäten der NSX Network Detection and Response-Benutzeroberfläche weitere Details anzuzeigen. Weitere Informationen zur NSX Network Detection and Response-Funktion finden Sie unter NSX Network Detection and Response.

IDS/IPS

• Auf dem Bildschirm „Übersicht über IDS/IPS“ wird Folgendes angezeigt:

• Eintrag	Beschreibung
  Ereignisse mit Eindringversuch	Zeigt die Gesamtanzahl der Ereignisse mit Eindringversuch als anklickbaren Link an sowie die Anzahl der Eindringversuche, die zu Warnungen oder Schutz geführt haben.
  Eindeutige Signaturen für Eindringversuche	Zeigt ein Diagramm mit der Anzahl der erkannten Eindringversuche in jeder Schweregradkategorie an.
  Ereignisse nach Top-Angriffstypen	Zeigt ein Diagramm basierend auf Angriffstypen an.

• Übersicht über verteilte IDS/IPS

  Eintrag	Beschreibung
  Trend nach Eindringschweregrad	Zeigt ein Diagramm mit dem Trend für den Schweregrad und der Anzahl der Eindringereignisse im Zeitverlauf an.
  Verteilung	Zeigt ein Netzdiagramm an, das die Verteilung basierend auf Angriffstyp, Angriffsziel oder Schweregrad über einen Zeitraum von 48 Stunden bis 14 Tagen darstellt.
  Top-VMs	Zeigt die häufigsten VMs an, auf denen ein Eindringversuch unternommen wurde.

• Übersicht über Gateway IDS/IPS

  Eintrag	Beschreibung
  Trend nach Eindringschweregrad	Zeigt ein Diagramm mit dem Trend für den Schweregrad und der Anzahl der Eindringereignisse im Zeitverlauf an.
  Verteilung	Zeigt ein Netzdiagramm an, das die Verteilung basierend auf Angriffstyp, Angriffsziel oder Schweregrad über einen Zeitraum von 48 Stunden bis 14 Tagen darstellt.
  Top-IPs	Zeigt die häufigsten IPs an, auf denen ein Eindringversuch unternommen wurde.

FQDN-Analyse

Auf dem Übersichtsbildschirm für die FQDN-Analyse wird Folgendes angezeigt:

• Die Gesamtanzahl der überprüften URLs mit ihrem jeweiligen Schweregrad.
• Die wichtigsten URL-Kategorien mit der größten Anzahl überprüfter FQDNs.
• Die URLs mit dem höchsten Schweregrad, zusammen mit Datum und Uhrzeit.

URL-Filterung

Wählen Sie ein bestimmtes Gateway oder alle Gateways aus, um die folgenden Informationen anzuzeigen:

• Verteilung der URLs nach Schweregradbewertung.
• Schweregrad der zulässigen URLs sowie die fünf Kategorien mit der größten Anzahl überprüfter URLs.
• Zeigt die fünf URL-Kategorien mit der größten Anzahl blockierter URLs an.
• Die Verteilung der eindeutigen Sites zeigt die fünf Sites mit der größten Anzahl zulässiger URLs an. Zeigt die fünf Sites mit der größten Anzahl blockierter URLs an.

Böswillige IPs

Für die verteilte Firewall können Sie einen böswilligen IP-Feed einrichten, um eine Liste bekannter böswilliger IPs herunterzuladen. Sie können den Zugriff auf diese IPs über Firewallregeln blockieren und das System auf Ausnahmen überwachen. Der Überwachungsbildschirm zeigt drei Diagramme mit den folgenden Informationen an.

• Die am häufigsten blockierten IPs und wie häufig die IPs insgesamt blockiert wurden.

• Die VMs, die am häufigsten auf böswillige IPs zugegriffen haben oder auf die am häufigsten zugegriffen wurde, zusammen mit der Gesamtanzahl der böswilligen IPs, auf die von den VMs zugegriffen oder die auf die VMs zugegriffen haben.

• Die am häufigsten blockierten Kategorien und wie oft diese Kategorien insgesamt blockiert wurden.

Das System zeigt auch die 5 häufigsten Elemente jeder Datengruppe an.

Wenn Sie im Diagramm auf einen beliebigen Datenpunkt klicken, wird die Seite „Filtern und Analysieren“ mit detaillierten Informationen zu diesem Datenpunkt geöffnet. Beachten Sie, dass der Filter auf der Seite auf den Datenpunkt festgelegt ist, auf den Sie geklickt haben. Sie können den Filter entfernen und die Liste aller böswilligen IPs anzeigen.

Malware-Schutz

Zeigt die folgenden Dateiereignisse für einen ausgewählten Zeitraum in einem grafischen Format an:

• Gesamtanzahl der überprüften Dateiereignisse, schädlichen Dateiereignisse, verdächtigen Dateiereignisse und blockierten Dateien.
• Anzahl der Dateiüberprüfungen für verschiedene Bereiche der Bedrohungsbewertung.
• Die fünf zuletzt überprüften Dateien im Datencenter sind nach Zeitstempel sortiert.
• Die fünf wichtigsten schädlichen Dateien, die im Datencenter erkannt wurden.
• Trend bei schädlichen Dateiereignissen, verdächtigen Dateiereignissen und unterdrückten Dateiereignissen im Datencenter.
• Verteilung von Dateiüberprüfungen basierend auf der Malware-Familie, zu der die Dateien gehören.
• Aufschlüsselung der Dateiüberprüfungen nach Art der durchgeführten Analyse (lokale Dateianalyse, Cloud-Dateianalyse).

Verdächtige Netzwerkaktivität

Wenn VMware NSX^® Intelligence™ aktiviert ist, zeigt diese Registerkarte die folgenden Statistiken (im grafischen Format) zu verdächtigen oder ungewöhnlichen Ereignissen an, die während des ausgewählten Zeitraums erkannt wurden.

• Ein Kreis zeigt die Gesamtanzahl der während des ausgewählten Zeitraums erkannten Anomalien an. Der Kreis besteht aus farbigen Segmenten. Diese stellen die Anzahl der erkannten ungewöhnlichen Ereignisse und die MITRE-Angriffstaktiken und ‑Techniken dar, die zum Erkennen der Ereignisse verwendet werden.
• Eine Liste der erkannten verdächtigen Ereignisse, die in denselben MITRE-Taktiken und ‑Techniken kategorisiert sind, die bei der Erkennung verwendet wurden, sowie die Anzahl der während des ausgewählten Zeitraums aufgetretenen Ereignisse.
• Ein Balkendiagramm mit der Anzahl der erkannten Anomalien, kategorisiert nach Schweregrad.

Klicken Sie auf Alle anzeigen, um weitere Informationen zu den erkannten verdächtigen Ereignissen auf der Seite Verdächtiger Datenverkehr anzuzeigen. Weitere Informationen zur NSX Suspicious Traffic-Funktion finden Sie in der Dokumentation für Verwenden und Verwalten von VMware NSX Intelligence Version 3.2 und höher unter https://docs.vmware.com/de/VMware-NSX-Intelligence/index.html.

TLS-Prüfung

Die TLS-Überprüfung und ‑Entschlüsselung bietet eine sichere Möglichkeit der gezielten Erkennung eingehender Bedrohungen im Webdatenverkehr des Unternehmens. Die Funktion verwendet TLS-Proxy, um verschlüsselten Datenverkehr über TLS-Verbindungen transparent abzufangen, und ermöglicht es NSX-Sicherheitsdiensten wie Firewalls der Schicht 7, IDS und URL-Filterung, Inhalte zu überprüfen und die Sicherheitsrichtlinien zu erzwingen. Sie können einen Assistenten verwenden oder den Workflow manuell befolgen, um Ihre Richtlinie und Regeln festzulegen.

Das Dashboard „Sicherheitsübersicht“ zeigt die folgenden TLS-Verbindungs- und Zertifikatdetails an, wenn diese aktiviert sind.

• Das Ringdiagramm zeigt die Details der TLS-Verbindungsübersicht, einschließlich:
  • Wegen Fehlern umgangen
  • Entschlüsselt
  • Verbindungsfehler
  • Wegen Regeln umgangen
• Verbindungen und Regeln
  • Verbindungen insgesamt
  • Offene Verbindungen
  • CPS
  • Regeltreffer
• Das Ringdiagramm zeigt die Details zum Zwischenspeichern von Zertifikaten, einschließlich:
  • Zwischengespeicherte Treffer
  • Zwischengespeicherte Zertifikate
  • Zwischengespeicherte Fehler
• Datenverkehr
  • Durchsatzdetails einschließlich Client zu Server und Server zu Client
  • Details zum gesamten Datenverkehr, einschließlich Client zu Server und Server zu Client

Konfiguration

Diese Seite bietet auch detaillierte Ansichten der Sicherheitseinstellungen für:

Widget „Gateway-Firewall“

Hebt die Sicherheitseinstellungen der Gateway-Firewall hervor. Klicken Sie auf die Links, um die Gateways anzuzeigen, auf denen die folgenden Sicherheitsfunktionen aktiviert sind:

• IDS/IPS
• Malware-Schutz
• TLS-Prüfung

Um die Gateways mit diesen Sicherheitsfunktionen anzuzeigen, muss mindestens eine der oben genannten Sicherheitsfunktionen in Ihrem Datencenter bereitgestellt werden.

Widget der verteilten Firewall

Hebt die Gesamtzahl der Richtlinien für verteilte Firewalls mithilfe von Grafiken hervor. Klicken Sie hier, um Details zu Richtliniengruppierungen, den von Sicherheitsrichtlinien für horizontalen Datenverkehr am häufigsten genutzten Diensten sowie deren Aktionen (Zulassen, Verwerfen, Ablehnen) und der Gesamtzahl von Regeln für die verteilte Firewall anzuzeigen.

Widget „Endpoint-Schutz“

Zeigt eine Übersicht über die Konfiguration des Endpoint-Schutzes für virtuelle Maschinen an. Sie können die VM-Verteilung nach Dienstprofil, Komponenten mit Problemen und konfigurierten VMs, die Datei-Introspektion ausführen, anzeigen.

Widget „Benutzersitzungen für identitätsbasierte Firewall“

Zeigt die Anzahl der aktiven IDFW-Benutzersitzungen an.

Widget „Malware-Schutz“

Dieses Benutzeroberflächen-Widget zeigt Probleme an, wenn eine der Komponenten für den NSX Distributed Malware Prevention-Dienst nicht verfügbar ist oder nicht funktioniert.

Beispiel:

• Das Balkendiagramm zeigt ein Problem an, wenn der Sicherheits-Hub auf der virtuellen NSX Malware-Schutz-Dienstmaschine (SVM) inaktiv ist. Zeigen Sie auf die Leiste, um die folgenden Details anzuzeigen:
  • Anzahl der betroffenen NSX Malware-Schutz-SVMs.
  • Anzahl der Arbeitslast-VMs auf dem Host, die den Malware-Schutz verloren haben, weil der Sicherheits-Hub ausgefallen ist.
• Das Ringdiagramm zeigt die folgenden Details an:
  • Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber ausgeführt wird.
  • Anzahl der Arbeitslast-VMs, auf denen der NSX Datei-Introspektion-Treiber nicht ausgeführt wird.

  Für diese beiden Metriken werden nur die Arbeitslast-VMs auf den Hostclustern berücksichtigt, die für NSX Distributed Malware Prevention aktiviert sind.

Kapazität