Usar vRealize Log Insight para registros de seguridad unificados

Puede ver los registros de flujo de seguridad del entorno de NSX usando VMware Aria Operations for Logs.

Las siguientes funciones de seguridad admiten el registro de flujos:

Inspección TLS
IDPS de puerta de enlace
Filtrado de URL

Nota:

A partir de NSX 3.2.1, la inspección TLS y el IDPS de puerta de enlace están disponibles para entornos de producción y son totalmente compatibles. En NSX 3.2.0, estas funciones solo estaban disponibles en el modo de vista previa técnica. Para obtener más información, consulte la Notas de la versión de NSX.

Registros de seguridad unificados

Todas las verticales de seguridad generan y guardan registros de flujo de seguridad unificados en el formato registros de seguridad unificados en un único archivo de registro en un nodo. Este registro único se exporta al servidor syslog, que está configurado para VMware Aria Operations for Logs. VMware Aria Operations for Logs entonces procesará los registros para proporcionar más administración de registros, análisis y mostrarlos mediante el paquete de contenido de NSX.

Mostrar registros en vRealize Log Insight

Se agrega un nuevo panel de control 'NSX - Registros de flujo de seguridad unificados' en el paquete de contenido de NSX existente. Este panel de control muestra widgets de gráfico, que son representaciones visuales de los registros de flujo de seguridad.

El paquete de contenido de VMware Aria Operations for Logs es un complemento. Contiene paneles de control, campos extraídos, consultas guardadas y alertas relacionadas con un producto específico o un conjunto de registros.

El paquete de contenido de NSX está disponible en VMware Aria Operations for Logs Marketplace.

Para obtener más información sobre VMware Aria Operations for Logs y cómo instalar el paquete de contenido desde Content Pack Marketplace, consulte el capítulo Instalar un paquete de contenido desde el catálogo de paquetes de contenido en el documento del producto Usar VMware Aria Operations for Logs.

Información principal N y últimas X horas

También puede consultar eventos en VMware Aria Operations for Logs para obtener información de la información principal de N de las últimas X horas mediante análisis interactivo y paquete de contenido.

Servidor de registro remoto

Para enviar registros a un servidor de registro remoto, los dispositivos de NSX y los hipervisores deben configurarse con registros remotos en cada nodo por separado.

Nota: Para que los registros se envíen al servidor syslog, debe habilitar el registro para las reglas específicas en NSX Manager.

Para obtener más información, consulte Configurar registros remotos.

Si el servidor de registros remoto no recibe registros, consulte Solucionar problemas de syslog.

Formato de registro de seguridad unificado

También puede obtener los registros de flujo en /var/log/syslog | grep 'unified-logs' en las instancias de Edge. Por ejemplo, para

Inspección TLS:

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

IDPS de puerta de enlace:

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

Filtrado de URL:

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}