Puede supervisar los eventos y ver los datos de los últimos 14 días.
- Criterios de filtro. Seleccione una de las siguientes opciones:
Criterios de filtro Descripción Objetivo del ataque Destino del ataque. Tipo de ataque Tipo de ataque, como troyanos o denegación de servicio (DoS). CVSS Puntuación de vulnerabilidades comunes (filtro basado en una puntuación por encima de un umbral establecido). Nombre de la puerta de enlace El nombre de la puerta de enlace en la que se registró el evento. Dirección IP Dirección IP en la que se registró el evento. Producto afectado Producto vulnerable o (versión), como Windows XP o Web_Browsers. Identificador de firma Identificador único de la regla de firma. Nombre de máquina virtual La máquina virtual (basada en el puerto lógico) en la que se registró el evento. - Tráfico: Seleccione una de las siguientes opciones:
- Todo el tráfico
- Solo distribuido
- Solo puerta de enlace
- Acciones de firma: se puede elegir alguna de las siguientes opciones:
- Mostrar todas las firmas
- Descartado (evitado)
- Rechazado (evitado)
- Alerta (solo detección)
- Clasificación de gravedad: se puede elegir alguna de las siguientes opciones:
- Crítico
- Alto
- Mediano
- Bajo
- Sospechoso
Puede alternar el botón Cronología para ver u ocultar el gráfico de cronología que se basa en las calificaciones de gravedad. El gráfico presenta los eventos que se produjeron en un intervalo de tiempo seleccionado. Puede ampliar la ventana de tiempo específica de este gráfico para ver los detalles de las firmas de los eventos relacionados que ocurrieron durante el período de tiempo.
- Puntos rojos: representan eventos de firma de gravedad crítica.
- Puntos naranja: representan eventos de firma de gravedad alta.
- Puntos amarillos: representan eventos de firma de gravedad media.
- Puntos grises: representan eventos de firma de gravedad baja.
- Púrpura: representa eventos de firma de gravedad sospechosa.
Todos los intentos de intrusión de una firma en particular se agrupan y se trazan en la primera aparición.
Detalle | Descripción |
---|---|
Puntuación de impacto | La puntuación de impacto es un valor combinado de puntuación de riesgo (la gravedad de la amenaza) y la puntuación de confianza (siendo correcta la potencia de la detección). |
Gravedad | Gravedad de la firma de la intrusión. |
Última detección | Esta es la última vez que se activó la firma. |
Detalles | Breve descripción del destino de la firma. |
Usuarios afectados | Número de usuarios que se vieron afectados por el evento. |
Cargas de trabajo | Número de cargas de trabajo afectadas. Haga clic para ver los detalles de la carga de trabajo afectada. |
Detalles de CVE | Referencia de CVE de la vulnerabilidad a la que se dirige la vulnerabilidad. |
CVSS | Puntuación de vulnerabilidad común de la vulnerabilidad a la que se dirige la vulnerabilidad. |
Detalles del evento de intrusión (última aparición): origen | Dirección IP del atacante y el puerto de origen utilizado. |
Detalles del evento de intrusión (última aparición): puerta de enlace | Detalles del nodo de Edge que contienen la carga de trabajo en la que se registró el evento. |
Detalles del evento de intrusión (última aparición): hipervisor | Detalles del nodo de transporte que contienen la carga de trabajo en la que se registró el evento. |
Detalles del evento de intrusión (última aparición): destino | Dirección IP de la víctima y puerto de destino utilizado. |
Dirección del ataque | Cliente-servidor o servidor-cliente. |
Objetivo del ataque | Destino del ataque. |
Tipo de ataque | Tipo de ataque, como troyanos o denegación de servicio (DoS). |
Producto afectado | Muestra qué producto puede verse afectado por la vulnerabilidad. |
Eventos totales | Número total de intentos de intrusión para el evento. |
Actividad de intrusión | Muestra el número total de veces que se activó esta firma de IDS en particular, la ocurrencia más reciente y la primera aparición. |
Servicio | Información de protocolo asociada con el evento. |
Identificador de firma | Identificador único de la firma de IDS. |
Revisión de firma | El número de revisión de la firma de IDS. |
Técnica de MITRE | Técnica de MITRE ATT&CK que describe la actividad detectada. |
Táctica de MITRE | Táctica de MITRE ATT&CK que describe la actividad detectada. |
Regla de IDS asociada | Vínculo en el que se hizo clic en la regla de IDS configurada que dio lugar a este evento. |
Detalle | Descripción |
---|---|
Tiempo detectado | Esta es la última vez que se activó la firma. |
Tipo de tráfico | Esto podría ser una puerta de enlace o distribuida. Distribuido indica el flujo de tráfico este-oeste y puerta de enlace indica el flujo de tráfico norte-sur. |
Cargas de trabajo/direcciones IP afectadas | Número de máquinas virtuales o direcciones IP que han alcanzado el ataque o la vulnerabilidad dados para un flujo de tráfico determinado. |
Intentos | Número de intentos de intrusión realizados para un ataque o una vulnerabilidad durante un flujo de tráfico determinado. |
Origen | Dirección IP del atacante. |
Destino | Dirección IP de la víctima. |
Protocolo | Protocolo de tráfico de la intrusión detectada. |
Regla | Regla a la que pertenece la firma (a través del perfil). |
Perfil | Perfil al que pertenece la firma. |
Acción | Cualquiera de las siguientes acciones que se activaron en relación con el evento:
|
- Acción
- IP de destino
- Puerto de destino
- Protocolo
- Regla
- IP de origen
- Puerto de origen
- Tipo de tráfico
Registro
Los componentes de NSX escriben en los archivos de registro en el directorio /var/log. En dispositivos NSX, los mensajes de syslog de NSX se ajustan a RFC 5424. En hosts ESXi, los mensajes de syslog se ajustan a RFC 3164.
- fast.log: contiene el registro interno de los eventos del proceso nsx-idps, con información limitada y se utiliza solo para fines de depuración.
- nsx-idps-events.log: contiene información detallada sobre los eventos (todas las alertas/descartes/rechazos) con metadatos de NSX.
De forma predeterminada, el syslog de IDS/IPS no está habilitado. Ejecute la siguiente API para consultar la configuración actual.
GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Ejemplo de respuesta:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": false, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", "path": "/infra/settings/firewall/security/intrusion-services", "relative_path": "intrusion-services", "parent_path": "/infra", "unique_id": "5035623f-255e-4153-945a-cc320451e4a0", "realization_id": "5035623f-255e-4153-945a-cc320451e4a0", "marked_for_delete": false, "overridden": false, "_create_time": 1665948964775, "_create_user": "system", "_last_modified_time": 1680466910136, "_last_modified_user": "admin", "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 5 }
Para habilitar el envío de registros de NSX IDS/IPS a un repositorio de registros central, ejecute la siguiente API y establezca la variable ids_events_to_syslog en true.
PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Ejemplo de solicitud:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": true, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", . . . }
Estos eventos se exportan directamente desde hosts ESXi, así que debe asegurarse de que syslog remoto esté configurado en el host ESXi. También debe asegurarse de que NSX Manager y los hosts ESXi también estén configurados para reenviar mensajes de Syslog al repositorio central de registros.
Para obtener información sobre las API de IDS/IPS, consulte la Guía de la API de NSX. Para obtener más información sobre la configuración del registro remoto, consulte Configurar registros remotos y toda la información relacionada en la sección Mensajes de registro y códigos de error.