Cuando el registro está habilitado para NSX-T IDS/IPS, puede consultar los archivos de registro para solucionar problemas.
A continuación se muestra un archivo de registro de ejemplo para NSX-T IDS/IPS, ubicado en /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| Campo | Descripción |
|---|---|
| Marca de tiempo | La marca de tiempo del paquete sobre el que se activó la alerta. |
| flow_id | El Identificador único para cada flujo del que nsx-idps realiza un seguimiento. |
| event_type | El tipo de evento generado por el motor IDPS. Para las alertas, el tipo de evento siempre será "alert" (independientemente de la acción realizada). |
| src_ip | La IP de origen del paquete sobre la que se activó la alerta. En función de las características de la alerta, puede ser la dirección del cliente o la del servidor. Consulte el campo "direction" para determinar el cliente. |
| src_port | El puerto de origen del paquete sobre el que se activó la alerta. |
| dest_ip | La IP de destino del paquete sobre la que se activó la alerta. |
| dest_port | El puerto de destino del paquete sobre el que se activó la alerta. |
| proto | El protocolo IP del paquete sobre el que se activó la alerta. |
| direction | La dirección del paquete comparada con la dirección del flujo. El valor será "to_server" para los paquetes que fluyen del cliente al servidor, y "to_client" para los que fluyen del servidor al cliente. |
Los campos que no se incluyan en la tabla de metadatos de NSX son solo para uso interno.
| Metadatos de NSX | Descripción |
|---|---|
| metadata.flowbits y metadata.flowints | Este campo constituye un volcado del estado de flujo interno. Las variables se establecen dinámicamente mediante varias firmas o scripts Lua que operan en el flujo específico. La semántica y la naturaleza de los campos son principalmente internos y pueden variar según las actualizaciones de los paquetes de IDS. |
| nsx_metadata.flow_src_ip | La dirección IP del cliente. Para obtener información, consulte los endpoints de paquetes y la dirección del paquete. |
| nsx_metadata.flow_dest_ip | La dirección IP del servidor. |
| nsx_metadata.flow_dir | La dirección del flujo con respecto a la máquina virtual de origen. El valor es 1 para los flujos que entran en la máquina virtual supervisada y 2 para los flujos que salen de la máquina virtual supervisada. |
| nsx_metadata.rule_id | El identificador de regla DFW::IDS con el que coincidió el paquete. |
| nsx_metadata.profile_id | Identificador de perfil de contexto que usó la regla coincidente. |
| nsx_metadata.user_id | El identificador de usuario cuyo tráfico generó el evento. |
| nsx_metadata.vm_uuid | El identificador de la máquina virtual cuyo tráfico generó el evento. |
| alert.action | La acción realizada por nsx-idps en el paquete (Permitido/Bloqueado). Depende de la acción de regla configurada. |
| alert.gid, alert.signature_id, alert.rev | El identificador de la firma y su revisión. Una firma puede mantener el mismo identificador y actualizarse a una versión más reciente aumentando la revisión. |
| alert.signature | Una breve descripción de la amenaza detectada. |
| alert.category | La categoría de la amenaza detectada. Por lo general, se trata de una categorización bastante imprecisa. Los detalles del modo se pueden consultar en alert.metadata. |
| alert.severity | La prioridad de la firma, derivada de la categoría de alerta. Las alertas de mayor prioridad suelen estar asociadas con amenazas más graves. |
| alert.source/alert.target | Información sobre la dirección de ataque, que no coincide necesariamente con la dirección del flujo. El origen de la alerta será el endpoint atacante, mientras que el objetivo de la alerta será la víctima del ataque. |
| alert.metadata.detector_id | Identificador interno de la detección utilizada por el componente de NDR para asociar documentación y metadatos de amenazas. |
| alert.metadata.severity | Rango de 0 a 100 de la gravedad de la amenaza. Este valor es una función del alert.metadata.threat_class_name. |
| alert.metadata.confidence | Rango de 0 a 100 del grado de confianza en la corrección de la detección. Las firmas que se publican a pesar de la posibilidad de que se generen falsos positivos informan de un bajo grado de confianza (<50). |
| alert.metadata.exploited | Un modificador para expresar si es probable que el atacante notificado en la detección es un host comprometido (es decir, la información del endpoint no debe considerarse un IoC fiable). |
| alert.metadata.blacklist_mode | Solo interno. |
| alert.metadata.ids_mode | El modo de operación de la firma. Los valores posibles actualmente son REAL (produce detecciones en modo real en el producto NDR) e INFO (produce detecciones en modo de información en el producto NDR). |
| alert.metadata.threat_name | El nombre de la amenaza detectada. El nombre de la amenaza se guarda en el contexto del producto NDR como parte de una topología bien definida, y es la fuente de información más fiable sobre la naturaleza del ataque. |
| alert.metadata.threat_class_name | Nombre de la clase de alto nivel del ataque al que pertenece la amenaza. Las clases de amenazas son categorías de alto nivel con valores como "command&control", "drive-by" y "exploit". |
| alert.metadata.server_side | Un modificador para indicar si la amenaza está pensada para atacar a los servidores o clientes. Equivale a la información expresada por los atributos alert.source y alert.target. |
| alert.metadata.flip_endpoints | Un modificador para expresar si se espera que la firma coincida en los paquetes que fluyen de servidor a cliente en lugar de del cliente al servidor. |
| alert.metadata.ll_expected_verifier | Solo interno. |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | Información sobre la cantidad de paquetes/bytes que se observaron en un determinado flujo en el momento de la alerta. Tenga en cuenta que esta información no expresa la cantidad total de paquetes que pertenecen al flujo. Esta información expresa los recuentos parciales en el momento en que se generó la alerta. |
| flow.start | La marca de tiempo del primer paquete que pertenece al flujo. |
