Puede supervisar los eventos y ver los datos hasta los últimos 14 días.
Hay tres archivos de registro de eventos en la carpeta
/var/log/NSX-IDPs en hosts ESXi:
- registro rápido: contiene el registro interno de los eventos del proceso nsx-idps, con información limitada y se utiliza solo para fines de depuración.
- nsx-idps-log: contiene registros de procesos de nsx-idps generales con información básica y errores sobre el flujo de trabajo de proceso
- nsx-idps-events.log: contiene información detallada sobre los eventos (todas las alertas/descartes/rechazos) con metadatos de NSX
Desplácese hasta
para ver eventos de intrusión. Puede filtrar los eventos en función de los siguientes criterios:
- Criterios de filtro. Seleccione una de las siguientes opciones:
Criterios de filtro Descripción Objetivo del ataque Destino del ataque. Tipo de ataque Tipo de ataque, como troyanos o denegación de servicio (DoS). CVSS Puntuación de vulnerabilidades comunes (filtro basado en una puntuación por encima de un umbral establecido). Nombre de la puerta de enlace El nombre de la puerta de enlace en la que se registró el evento. Dirección IP Dirección IP en la que se registró el evento. Producto afectado Producto vulnerable o (versión), como Windows XP o Web_Browsers. Identificador de firma Identificador único de la regla de firma. Nombre de máquina virtual La máquina virtual (basada en el puerto lógico) en la que se registró el evento. - Tráfico: Seleccione una de las siguientes opciones:
- Todo el tráfico e
- Solo distribuido
- Solo puerta de enlace
- Acciones de firma: se puede elegir alguna de las siguientes opciones:
- Mostrar todas las firmas
- Descartado (evitado)
- Rechazado (evitado)
- Alerta (solo detección)
- Clasificación de gravedad: se puede elegir alguna de las siguientes opciones:
- Crítico
- Alto
- Mediano
- Bajo
- Sospechoso
Puede alternar el botón Cronología para ver u ocultar el gráfico de cronología que se basa en las calificaciones de gravedad. El gráfico presenta los eventos que se produjeron en un intervalo de tiempo seleccionado. Puede ampliar la ventana de tiempo específica de este gráfico para ver los detalles de las firmas de los eventos relacionados que ocurrieron durante el período de tiempo.
En el gráfico de cronología, los puntos de color indican el tipo único de eventos de intrusión. Haga clic en ellos para consultar información detallada. El tamaño del punto indica el número de veces que se ha detectado un evento de intrusión. Un punto parpadeante indica que hay un ataque en curso. Coloque el cursor sobre un punto para ver el nombre del ataque, el número de intentos, la primera aparición y otros detalles.
- Puntos rojos: representan eventos de firma de gravedad crítica.
- Puntos naranja: representan eventos de firma de gravedad alta.
- Puntos amarillos: representan eventos de firma de gravedad media.
- Puntos grises: representan eventos de firma de gravedad baja.
- Púrpura: representa eventos de firma de gravedad sospechosa.
Todos los intentos de intrusión de una firma en particular se agrupan y se trazan en la primera aparición
Haga clic en la flecha situada junto a un evento para ver los detalles.
Para ver el historial de intrusiones completo, haga clic en el vínculo
Ver historial de eventos completo. Se abrirá una ventana con los siguientes detalles:
| Detalle | Descripción |
|---|---|
| Puntuación de impacto | La puntuación de impacto es un valor combinado de puntuación de riesgo (la gravedad de la amenaza) y la puntuación de confianza (siendo correcta la potencia de la detección). |
| Gravedad | Gravedad de la firma de la intrusión. |
| Última detección | Esta es la última vez que se activó la firma. |
| Detalles | Breve descripción del destino de la firma. |
| Usuarios afectados | Número de usuarios que se vieron afectados por el evento. |
| Cargas de trabajo | Número de cargas de trabajo afectadas. Haga clic para ver los detalles de la carga de trabajo afectada. |
| Detalles de CVE | Referencia de CVE de la vulnerabilidad a la que se dirige la vulnerabilidad. |
| CVSS | Puntuación de vulnerabilidad común de la vulnerabilidad a la que se dirige la vulnerabilidad. |
| Detalles del evento de intrusión (última aparición): origen | Dirección IP del atacante y el puerto de origen utilizado. |
| Detalles del evento de intrusión (última aparición): puerta de enlace | Detalles del nodo de Edge que contienen la carga de trabajo en la que se registró el evento. |
| Detalles del evento de intrusión (última aparición): hipervisor | Detalles del nodo de transporte que contienen la carga de trabajo en la que se registró el evento. |
| Detalles del evento de intrusión (última aparición): destino | Dirección IP de la víctima y puerto de destino utilizado. |
| Dirección del ataque | Cliente-servidor o servidor-cliente. |
| Objetivo del ataque | Destino del ataque. |
| Tipo de ataque | Tipo de ataque, como troyanos o denegación de servicio (DoS). |
| Producto afectado | Muestra qué producto puede verse afectado por la vulnerabilidad. |
| Eventos totales | Número total de intentos de intrusión para el evento. |
| Actividad de intrusión | Muestra el número total de veces que se activó esta firma de IDS en particular, la ocurrencia más reciente y la primera aparición. |
| Servicio | Información de protocolo asociada con el evento. |
| Identificador de firma | Identificador único de la firma de IDS. |
| Revisión de firma | El número de revisión de la firma de IDS. |
| Técnica de MITRE | Técnica de ATT&CK de MITRE que describe la actividad detectada. |
| Táctica de MITRE | Táctica de ATT&CK de MITRE que describe la actividad detectada. |
| Regla de IDS asociada | Vínculo en el que se hizo clic en la regla de IDS configurada que dio lugar a este evento. |
| Detalle | Descripción |
|---|---|
| Tiempo detectado | Esta es la última vez que se activó la firma. |
| Tipo de tráfico | Esto podría ser una puerta de enlace o distribuida. Distribuido indica el flujo de tráfico este-oeste y puerta de enlace indica el flujo de tráfico norte-sur. |
| Cargas de trabajo/direcciones IP afectadas | Número de máquinas virtuales o direcciones IP que han alcanzado el ataque o la vulnerabilidad dados para un flujo de tráfico determinado. |
| Intentos | Número de intentos de intrusión realizados para un ataque o una vulnerabilidad durante un flujo de tráfico determinado. |
| Origen | Dirección IP del atacante. |
| Destino | Dirección IP de la víctima. |
| Protocolo | Protocolo de tráfico de la intrusión detectada. |
| Regla | Regla a la que pertenece la firma (a través del perfil). |
| Perfil | Perfil al que pertenece la firma. |
| Acción | Cualquiera de las siguientes acciones que se activaron en relación con el evento:
|
También puede filtrar el historial de intrusiones en función de los siguientes criterios:
- Acción
- IP de destino
- Puerto de destino
- Protocolo
- Regla
- IP de origen
- Puerto de origen
- Tipo de tráfico
