La fenêtre d'événements contient les 14 derniers jours de données.
Il existe trois fichiers de journaux des événements dans le dossier
/var/log/nsx-idps sur les hôtes ESXi :
- Journal rapide : contient la journalisation interne des événements de processus nsx-idps avec des informations limitées. Il est utilisé uniquement à des fins de débogage
- nsx-idps-log : contient des journaux de processus nsx-idps généraux comportant des informations et des erreurs de base sur le workflow du processus
- nsx-idps-events.log : contient des informations détaillées sur les événements (toutes les alertes/abandons/rejets) avec métadonnées NSX
Accédez à
pour afficher les événements d'intrusion ponctuels. Filtrez les événements affichés en cliquant sur la flèche déroulante et en sélectionnant l'une des options suivantes :
- Afficher toutes les signatures
- Abandonné (empêché)
- Rejeté (empêché)
- Alerte (détection uniquement)
Les points en couleurs indiquent le type unique d'événements d'intrusion et peuvent être cliqués pour plus de détails. La taille du point indique le nombre de fois qu'un événement d'intrusion a été observé. Un point clignotant indique qu'une attaque est en cours. Pointez vers un point pour afficher le nom de l'attaque, le nombre de tentatives, la première occurrence et d'autres détails.
- Points rouges : représentent les événements à signature de gravité critique.
- Points orange : représentent des événements à signature de gravité élevée.
- Points jaunes : représentent des événements à signature de gravité moyenne.
- Points gris : représentent des événements à signature de gravité faible.
Toutes les tentatives d'intrusion pour une signature particulière sont regroupées et tracées à leur première occurrence.
- Sélectionnez la chronologie en cliquant sur la flèche située dans le coin supérieur droit. La chronologie peut être comprise entre 24 heures et 14 jours.
- Filtrer les événements par :
Critères de filtrage Description Cible de l'attaque Cible de l'attaque. Type d'attaque Type d'attaque, cheval de Troie ou déni de service (DoS) par exemple. CVSS (score de vulnérabilité standardisé) Score de vulnérabilité commun (filtre basé sur un score au-dessus d'un seuil défini). Produit concerné Produit ou (version) vulnérable, c'est-à-dire Windows XP ou Navigateurs_Web. ID de signature ID unique de la règle de signature. Nom de la machine virtuelle VM (basée sur le port logique) où le trafic d'exploitation provient de ou a été reçu par. - Cliquez sur la flèche en regard d'un événement pour en afficher les détails.
Détails Description Dernière détection Il s'agit de la dernière fois que la signature a été déclenchée. Détails Nom de la signature qui a été déclenchée. Produit concerné Illustre le produit qui est vulnérable à l'exploitation. VM affectée Liste des machines virtuelles impliquées dans la tentative d'intrusion. Détails de la vulnérabilité Si disponible, affiche un lien vers CVE et le score CVSS associés à la vulnérabilité. Source Adresse IP de l'attaquant et port source utilisés. Destination Adresse IP de la victime et port de destination utilisés. Direction de l'attaque Client-Serveur ou Serveur-Client. Règle IDS associée Lien hypertexte vers la règle IDS configurée qui a généré cet événement. Révision Numéro de révision de la signature IDS. Activité Affiche le nombre total de déclenchements de cette signature IDS spécifique, de l'occurrence la plus récente et de la première occurrence. - Pour afficher l'historique des intrusions, cliquez sur la flèche en regard d'un événement, puis sur Afficher l'historique des intrusions. Une fenêtre s'ouvre avec les détails suivants :
Détails Description IP source Adresse IP de l'attaquant. Port source Port source utilisé dans l'attaque. Adresse IP de destination Adresse IP de la victime. Port de destination Port de destination utilisé dans l'attaque. Protocole Protocole de trafic de l'intrusion détectée. Heure de détection Il s'agit de la dernière fois que la signature a été déclenchée.
- Le graphique présent sous le diagramme représente les événements qui se sont produits sur une période sélectionnée. Vous pouvez effectuer un zoom avant sur la fenêtre de temps spécifique sur ce graphique pour afficher les détails des signatures des événements associés qui se sont produits lors de la fenêtre de temps.