Puede supervisar los eventos y ver los datos de los últimos 14 días.

Para ver los eventos de intrusión, desplácese hasta Seguridad > IDS/IPS. Puede filtrar los eventos en función de los siguientes criterios:
  • Criterios de filtro. Seleccione una de las siguientes opciones:
    Criterios de filtro Descripción
    Objetivo del ataque Destino del ataque.
    Tipo de ataque Tipo de ataque, como troyanos o denegación de servicio (DoS).
    CVSS Puntuación de vulnerabilidades comunes (filtro basado en una puntuación por encima de un umbral establecido).
    Nombre de la puerta de enlace El nombre de la puerta de enlace en la que se registró el evento.
    Dirección IP Dirección IP en la que se registró el evento.
    Producto afectado Producto vulnerable o (versión), como Windows XP o Web_Browsers.
    Identificador de firma Identificador único de la regla de firma.
    Nombre de máquina virtual La máquina virtual (basada en el puerto lógico) en la que se registró el evento.
  • Tráfico: Seleccione una de las siguientes opciones:
    • Todo el tráfico
    • Solo distribuido
    • Solo puerta de enlace
  • Acciones de firma: se puede elegir alguna de las siguientes opciones:
    • Mostrar todas las firmas
    • Descartado (evitado)
    • Rechazado (evitado)
    • Alerta (solo detección)
  • Clasificación de gravedad: se puede elegir alguna de las siguientes opciones:
    • Crítico
    • Alto
    • Mediano
    • Bajo
    • Sospechoso

Puede alternar el botón Cronología para ver u ocultar el gráfico de cronología que se basa en las calificaciones de gravedad. El gráfico presenta los eventos que se produjeron en un intervalo de tiempo seleccionado. Puede ampliar la ventana de tiempo específica de este gráfico para ver los detalles de las firmas de los eventos relacionados que ocurrieron durante el período de tiempo.

En el gráfico de cronología, los puntos de color indican el tipo único de eventos de intrusión. Haga clic en ellos para consultar información detallada. El tamaño del punto indica el número de veces que se ha detectado un evento de intrusión. Un punto parpadeante indica que hay un ataque en curso. Coloque el cursor sobre un punto para ver el nombre del ataque, el número de intentos, la primera aparición y otros detalles.
  • Puntos rojos: representan eventos de firma de gravedad crítica.
  • Puntos naranja: representan eventos de firma de gravedad alta.
  • Puntos amarillos: representan eventos de firma de gravedad media.
  • Puntos grises: representan eventos de firma de gravedad baja.
  • Púrpura: representa eventos de firma de gravedad sospechosa.

Todos los intentos de intrusión de una firma en particular se agrupan y se trazan en la primera aparición.

Haga clic en la flecha situada junto a un evento para ver los detalles.
Detalle Descripción
Puntuación de impacto

La puntuación de impacto es un valor combinado de puntuación de riesgo (la gravedad de la amenaza) y la puntuación de confianza (siendo correcta la potencia de la detección).
Gravedad Gravedad de la firma de la intrusión.
Última detección Esta es la última vez que se activó la firma.
Detalles Breve descripción del destino de la firma.
Usuarios afectados Número de usuarios que se vieron afectados por el evento.
Cargas de trabajo Número de cargas de trabajo afectadas. Haga clic para ver los detalles de la carga de trabajo afectada.
Detalles de CVE

Referencia de CVE de la vulnerabilidad a la que se dirige la vulnerabilidad.
CVSS

Puntuación de vulnerabilidad común de la vulnerabilidad a la que se dirige la vulnerabilidad.
Detalles del evento de intrusión (última aparición): origen Dirección IP del atacante y el puerto de origen utilizado.
Detalles del evento de intrusión (última aparición): puerta de enlace Detalles del nodo de Edge que contienen la carga de trabajo en la que se registró el evento.
Detalles del evento de intrusión (última aparición): hipervisor Detalles del nodo de transporte que contienen la carga de trabajo en la que se registró el evento.
Detalles del evento de intrusión (última aparición): destino Dirección IP de la víctima y puerto de destino utilizado.
Dirección del ataque Cliente-servidor o servidor-cliente.
Objetivo del ataque Destino del ataque.
Tipo de ataque Tipo de ataque, como troyanos o denegación de servicio (DoS).
Producto afectado Muestra qué producto puede verse afectado por la vulnerabilidad.
Eventos totales Número total de intentos de intrusión para el evento.
Actividad de intrusión Muestra el número total de veces que se activó esta firma de IDS en particular, la ocurrencia más reciente y la primera aparición.
Servicio Información de protocolo asociada con el evento.
Identificador de firma

Identificador único de la firma de IDS.
Revisión de firma El número de revisión de la firma de IDS.
Técnica de MITRE Técnica de MITRE ATT&CK que describe la actividad detectada.
Táctica de MITRE Táctica de MITRE ATT&CK que describe la actividad detectada.
Regla de IDS asociada Vínculo en el que se hizo clic en la regla de IDS configurada que dio lugar a este evento.
Para ver el historial de intrusiones completo, haga clic en el vínculo Ver historial de eventos completo. Se abrirá una ventana con los siguientes detalles:
Detalle Descripción
Tiempo detectado Esta es la última vez que se activó la firma.
Tipo de tráfico

Esto podría ser una puerta de enlace o distribuida. Distribuido indica el flujo de tráfico este-oeste y puerta de enlace indica el flujo de tráfico norte-sur.
Cargas de trabajo/direcciones IP afectadas Número de máquinas virtuales o direcciones IP que han alcanzado el ataque o la vulnerabilidad dados para un flujo de tráfico determinado.
Intentos Número de intentos de intrusión realizados para un ataque o una vulnerabilidad durante un flujo de tráfico determinado.
Origen Dirección IP del atacante.
Destino Dirección IP de la víctima.
Protocolo Protocolo de tráfico de la intrusión detectada.
Regla Regla a la que pertenece la firma (a través del perfil).
Perfil Perfil al que pertenece la firma.
Acción Cualquiera de las siguientes acciones que se activaron en relación con el evento:
  • Quitar
  • Rechazar
  • Alerta
También puede filtrar el historial de intrusiones en función de los siguientes criterios:
  • Acción
  • IP de destino
  • Puerto de destino
  • Protocolo
  • Regla
  • IP de origen
  • Puerto de origen
  • Tipo de tráfico

Registro

Los componentes de NSX escriben en los archivos de registro en el directorio /var/log. En dispositivos NSX, los mensajes de syslog de NSX se ajustan a RFC 5424. En hosts ESXi, los mensajes de syslog se ajustan a RFC 3164.

Hay dos archivos de registro de eventos locales relacionados con IDS/IPS en la carpeta /var/log/nsx-idps en los hosts ESXi:
  • fast.log: contiene el registro interno de los eventos del proceso nsx-idps, con información limitada y se utiliza solo para fines de depuración.
  • nsx-idps-events.log: contiene información detallada sobre los eventos (todas las alertas/descartes/rechazos) con metadatos de NSX.
Estructura de varios tenants
A partir de NSX 4.1.1, la estructura jerárquica también es compatible con NSX IDS/IPS.

El contexto del tenant se registra al gestionar los mensajes de configuración. El contexto se registra para los siguientes mensajes:

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg : el mensaje de regla no contiene directamente el contexto del tenant. Se recupera de RuleSectioMsg.
  5. GlobalConfigMsg

Estos registros se almacenan en /var/log/nsx-syslog.log. Si falta la VPC o el proyecto, se imprimirán cadenas vacías en los campos de contexto de tenant. Si falta la organización, no se imprimirá ninguno de los tres campos de contexto de tenant.

Para obtener más información sobre la estructura de varios tenants, consulte Estructura de varios tenants de NSX.
API de registro

De forma predeterminada, el syslog de IDS/IPS no está habilitado. Ejecute la siguiente API para consultar la configuración actual.

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Ejemplo de respuesta:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

Para habilitar el envío de registros de NSX IDS/IPS a un repositorio de registros central, ejecute la siguiente API y establezca la variable ids_events_to_syslog en true.

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Ejemplo de solicitud:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

Estos eventos se exportan directamente desde hosts ESXi, así que debe asegurarse de que syslog remoto esté configurado en el host ESXi. También debe asegurarse de que NSX Manager y los hosts ESXi también estén configurados para reenviar mensajes de Syslog al repositorio central de registros.

Para obtener información sobre las API de IDS/IPS, consulte la Guía de la API de NSX. Para obtener más información sobre la configuración del registro remoto, consulte Configurar registros remotos y toda la información relacionada en la sección Mensajes de registro y códigos de error.