El panel Seguridad permite configurar funciones para proteger la red y las cargas de trabajo. El panel Información general de seguridad muestra varias funciones de detección y respuesta a amenazas, un resumen visual de la configuración general de seguridad y la capacidad de los diversos objetos del entorno NSX.

La información que se muestra en este panel de control depende de las funciones de seguridad que se implementan y activan en el centro de datos.

Detección y respuesta a amenazas

Esta pestaña proporciona información clave sobre el estado actual de varios problemas de seguridad en el centro de datos. Estas funciones ayudan a los equipos de seguridad a comprender lo que sucede en la red y dónde centrarse.

Campañas

Una campaña es un conjunto de eventos de amenazas relacionados que utilizan técnicas y tácticas de MITRE específicas. Los eventos de amenazas se pueden asignar a etapas de ATT&CK de MITRE para definir una historia de ataque. Las campañas pueden variar desde un solo grupo de eventos de detección durante un breve período de tiempo hasta ataques complejos de varios grupos durante un período prolongado. Una campaña le permite ver la cronología completa de los eventos de amenazas para que pueda responder y clasificarlos rápidamente.

Si la función VMware NSX® Network Detection and Response™ está activada, este widget mostrará las siguientes estadísticas de campaña.
  • El número total de campañas que NSX Network Detection and Response ha identificado durante el período de tiempo y que están actualmente activas en su red.
  • El número total de campañas de alto impacto que están en curso durante el período de tiempo seleccionado.
  • El número total de campañas abiertas de alto impacto durante el período de tiempo seleccionado.
  • Número total de máquinas virtuales afectadas por las campañas identificadas durante el período de tiempo seleccionado.

Haga clic en Ir a Campañas para obtener más información desde la página Campañas de la interfaz de usuario de NSX Network Detection and Response. Para obtener más información sobre la función NSX Network Detection and Response, consulte NSX Network Detection and Response.

IDS/IPS
  • La pantalla de resumen de IDS/IPS muestra lo siguiente:
  • Entrada Descripción
    Eventos de intrusión Muestra el número total de eventos de intrusión como un vínculo en el que se puede hacer clic y el número de intrusiones que han resultado en alertas o prevención.
    Firmas de intrusión únicas Muestra un gráfico con el número de intrusiones detectadas en cada categoría de gravedad.
    Eventos por tipos de ataque principales Muestra un gráfico basado en los tipos de ataque.
  • Resumen de IDS/IPS distribuido
    Entrada Descripción
    Tendencia por gravedad de la intrusión Muestra un gráfico con la gravedad de tendencia con el número de eventos de intrusión por hora.
    Distribución

    Muestra un gráfico de comas para mostrar la distribución en función del tipo de ataque, el destino de ataque o la gravedad durante un período entre 48 horas y 14 días.
    Principales máquinas virtuales Muestra las máquinas virtuales principales en las que se intentó realizar la intrusión.
  • Resumen de IDS/IPS de puerta de enlace
    Entrada Descripción
    Tendencia por gravedad de la intrusión Muestra un gráfico con la gravedad de tendencia con el número de eventos de intrusión por hora.
    Distribución

    Muestra un gráfico de comas para mostrar la distribución en función del tipo de ataque, el destino de ataque o la gravedad durante un período entre 48 horas y 14 días.
    Principales direcciones IP Muestra las IP principales en las que se intentó realizar la intrusión.
Análisis de FQDN
La pantalla de resumen de análisis de FQDN muestra:
  • El número total de URL inspeccionadas y su nivel de gravedad.
  • Las categorías de URL principales que tienen el mayor número de FQDN inspeccionados.
  • Las URL de gravedad más alta, con la fecha y la hora.
Filtrado de URL
Seleccione una puerta de enlace específica o todas las puertas de enlace para ver la siguiente información:
  • Distribución de direcciones URL por calificación de gravedad.
  • Nivel de gravedad de las URL permitidas, y muestra las cinco categorías principales que tienen el mayor número de URL inspeccionadas.
  • Resalta las cinco categorías de URL principales que tienen el mayor número de URL bloqueadas.
  • La distribución única de sitios muestra los cinco sitios principales que tienen el mayor número de direcciones URL permitidas. Resalta los cinco sitios principales que tienen el mayor número de URL bloqueadas.
Direcciones IP malintencionadas

Para el firewall distribuido, puede configurar fuentes de direcciones IP malintencionadas para descargar una lista de direcciones IP malintencionadas conocidas. Puede bloquear el acceso a estas direcciones IP a través de reglas de firewall y supervisar el sistema en busca de excepciones. La pantalla de supervisión muestra tres gráficos con la siguiente información.

  • Direcciones IP bloqueadas principales junto con el número total de veces que se bloquean las direcciones IP.

  • Principales máquinas virtuales a las que acceden o desde las que se accede a direcciones IP malintencionadas junto con el recuento total de direcciones IP malintencionadas a las que accedieron o desde las que se accedió a las máquinas virtuales.

  • Categorías bloqueadas principales junto con el número total de veces que se bloquean las categorías.

El sistema también muestra los 5 elementos principales de cada grupo de datos.
Al hacer clic en cualquier punto de datos del gráfico, se abrirá la página Filtrado y análisis con la información detallada sobre ese punto de datos. Tenga en cuenta que el filtro de la página se establece en el punto de datos en el que ha hecho clic. Puede eliminar el filtro y ver la lista de todas las direcciones IP malintencionadas.
Prevención de malware
Muestra las siguientes estadísticas de eventos de archivo para un período de tiempo seleccionado en formato gráfico:
  • Número total de eventos de archivos inspeccionados, eventos de archivos malintencionados, eventos de archivos sospechosos y archivos bloqueados.
  • Número de inspecciones de archivos para diferentes rangos de puntuación de amenazas.
  • Los principales cinco archivos inspeccionados recientemente en el centro de datos organizados por marca de tiempo.
  • Se detectaron los cinco archivos maliciosos principales en el centro de datos.
  • Tendencia de eventos de archivos malintencionados, eventos de archivos sospechosos y eventos de archivo suprimidos en el centro de datos.
  • Distribución de inspecciones de archivos en función de la familia de malware a la que pertenecen los archivos.
  • Desglose de las inspecciones de archivos según el tipo de análisis realizado (análisis de archivos locales, análisis de archivos de nube).
Actividad de red sospechosa

Si VMware NSX® Intelligence™ está activado, esta pestaña muestra las siguientes estadísticas (en formato gráfico) sobre eventos sospechosos o anómalos detectados durante el período de tiempo seleccionado.

  • Un círculo muestra el número total de anomalías detectadas durante el período de tiempo seleccionado. El círculo está compuesto por segmentos de colores que representan el número de eventos anómalos detectados y la táctica y la técnica de MITRE que se utilizan para detectar los eventos.
  • Una lista de eventos sospechosos detectados categorizados en las mismas tácticas y técnicas de MITRE utilizadas en su detección, así como el número de veces que se produjeron durante el período de tiempo seleccionado.
  • Un gráfico de barras que muestra el número de anomalías detectadas, categorizadas según su gravedad.

Haga clic en Ver todo para obtener más información sobre los eventos sospechosos detectados mediante la página Tráfico sospechoso. Para obtener más información sobre la función Tráfico sospechoso de NSX, consulte la documentación de Usar y administrar VMware NSX Intelligence versión 3.2 y posteriores en https://docs.vmware.com/es/VMware-NSX-Intelligence/index.html.

Inspección TLS

La inspección y el descifrado de TLS proporcionan una forma segura de dirigirse a los ataques de amenazas presentes en el tráfico web empresarial. La función utiliza el proxy TLS para interceptar el tráfico cifrado de forma transparente a través de conexiones TLS y permite a los servicios de seguridad de NSX, como firewalls de capa 7, IDS y filtrado de URL, para inspeccionar el contenido y aplicar las directivas de seguridad. Puede utilizar un asistente o seguir manualmente el flujo de trabajo para establecer la directiva y las reglas.

El panel de control Información general de seguridad muestra los siguientes detalles de certificado y conexión TLS cuando se activa.
  • El gráfico de anillos muestra los detalles del resumen de la conexión TLS, entre los que se incluyen:
    • Omitido debido a errores
    • Descifrado
    • Errores de conexión
    • Omitido debido a reglas
  • Conexiones y reglas
    • Total de conexiones
    • Conexiones abiertas
    • CPS
    • Coincidencias de reglas
  • El gráfico de anillos muestra los detalles del almacenamiento en caché del certificado, entre los que se incluyen:
    • Coincidencias en caché
    • Certificados almacenados en caché
    • Errores en caché
  • Tráfico
    • Detalles de rendimiento, incluidos cliente a servidor y servidor a cliente
    • Detalles del tráfico total, incluidos cliente a servidor y servidor a cliente

Configuración

La pestaña Configuración proporciona una vista de resumen rápida con vínculos en los que se puede hacer clic con el número de:
  • Directivas de firewall
  • Directivas de endpoint
  • Directivas de IDS/IPS
  • Directivas de prevención de malware
  • Directivas de introspección de red
  • Directivas de inspección de TLS

Esta página también proporciona vistas detalladas de la configuración de seguridad para:

Widget Firewall de puerta de enlace
Resalta la configuración de seguridad del firewall de puerta de enlace. Haga clic en los vínculos para ver las puertas de enlace en las que están activadas las siguientes funciones de seguridad:
  • IDS/IPS
  • Prevención de malware
  • Inspección TLS

Para ver las puertas de enlace con estas funciones de seguridad, se debe implementar al menos una de las funciones de seguridad anteriores en el centro de datos.

Widget Firewall distribuido
Resalta las directivas de firewall distribuido totales mediante gráficos. Haga clic para ver detalles como las agrupaciones de directivas, los servicios principales consumidos por las directivas de seguridad este-oeste, así como sus acciones (permitir, descartar y rechazar) y el total de reglas de firewall distribuido.
Widget de protección de endpoints

Muestra un resumen de la configuración de la protección de endpoints para máquinas virtuales. Puede ver la distribución de máquinas virtuales por perfil de servicio, componentes con problemas y máquinas virtuales configuradas que ejecutan introspección de archivos.

Widget de sesiones de usuario del firewall de identidad widget
Muestra el número de sesiones de usuario activas de IDFW.
Widget de Prevención de malware

Este widget de la interfaz de usuario muestra problemas cuando alguno de los componentes del servicio NSX Distributed Malware Prevention está inactivo o no funciona.

Por ejemplo:
  • El gráfico de barras muestra un problema cuando el hub de seguridad de la máquina virtual de servicio (SVM) de Prevención de malware de NSX está inactivo. Coloque el puntero sobre la barra para ver los siguientes detalles:
    • Número de SVM de Prevención de malware de NSX que se ven afectadas.
    • Número de máquinas virtuales de carga de trabajo en el host que han perdido la protección de seguridad contra malware debido a que el hub de seguridad se está desactivando.
  • El gráfico de anillos muestra los siguientes detalles:
    • Número de máquinas virtuales de carga de trabajo en las que se ejecuta el controlador de introspección de archivos de NSX.
    • Número de máquinas virtuales de carga de trabajo en las que no se ejecuta el controlador de introspección de archivos de NSX.

    Para ambas métricas, solo se tienen en cuenta las máquinas virtuales de carga de trabajo en los clústeres de hosts que están activados para NSX Distributed Malware Prevention.

Capacidad

La información de capacidad solo está disponible en el modo Manager de la interfaz de usuario de NSX Manager. La información que se muestra en este panel de control depende de las funciones de seguridad que se implementan y activan en el centro de datos. Muestra los detalles de:
  • Reglas de Introspection N-S nivel 1
  • Dominios de Active Directory (firewall de identidad)
  • Cadenas de servicio
  • Directivas de Introspection E-O
  • Configuración de reglas de firewall guardadas
  • Directivas de Introspection N-S de nivel 0
  • Rutas de servicio de Introspection
  • Reglas de firewall de todo el sistema
  • Reglas de Introspection N-S de nivel 0
  • Reglas de Introspection E-O
  • Máquinas virtuales con protección de endpoints habilitada en todo el sistema
  • Directivas de Introspection N-S de nivel 1
  • Secciones de firewall distribuido
  • Secciones de firewall de todo el sistema
  • Dominios de Active Directory (firewall de identidad)
  • Hosts con protección de endpoints habilitada en todo el sistema
  • Reglas de firewall distribuido