Lorsque la journalisation est activée pour NSX-T IDS/IPS, vous pouvez consulter les fichiers journaux pour résoudre les problèmes.
Vous trouverez ci-après un exemple de fichier journal pour NSX-T IDS/IPS, situé dans /var/log/nsx-idps/nsx-idps-events.log :
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| Champ | Description |
|---|---|
| Horodatage | Horodatage du paquet au-dessus duquel l'alerte a été déclenchée. |
| flow_id | Identifiant unique pour chaque flux suivi par nsx-idps. |
| event_type | Type d'événement généré par le moteur IDPS. Pour les alertes, le type d'événement sera toujours « alerte » (quelle que soit l'action effectuée). |
| src_ip | Adresse IP source du paquet au-dessus de laquelle l'alerte s'est déclenchée. Selon les caractéristiques de l'alerte, il peut s'agir de l'adresse du client ou de l'adresse du serveur. Reportez-vous au champ « direction » pour déterminer le client. |
| src_port | Port source du paquet au-dessus duquel l'alerte s'est déclenchée. |
| dest_ip | Adresse IP de destination du paquet au-dessus de laquelle l'alerte s'est déclenchée. |
| dest_port | Port de destination du paquet au-dessus duquel l'alerte s'est déclenchée. |
| proto | Protocole IP du paquet au-dessus duquel l'alerte s'est déclenchée. |
| direction | Direction du paquet par rapport à la direction du flux. La valeur sera « to_server » pour un paquet circulant du client vers le serveur et « to_client » pour un paquet circulant du serveur vers le client. |
Tous les champs non inclus dans le tableau Métadonnées NSX sont destinés à une utilisation interne uniquement.
| Métadonnées NSX | Description |
|---|---|
| metadata.flowbits et metadata.flowints | Ce champ constitue un vidage de l'état du flux interne. Les variables sont dynamiquement définies par diverses signatures ou scripts Lua fonctionnant sur le flux spécifique. La sémantique et la nature des champs sont principalement internes et peuvent varier selon les mises à jour des bundles IDS. |
| nsx_metadata.flow_src_ip | Adresse IP du client. Peut être dérivée en examinant les points de terminaison des paquets et dans la direction du paquet. |
| nsx_metadata.flow_dest_ip | Adresse IP du serveur. |
| nsx_metadata.flow_dir | Direction du flux par rapport à la machine virtuelle d'origine. La valeur est 1 pour les flux entrants vers la machine virtuelle surveillée et 2 pour les flux sortants vers la machine virtuelle surveillée. |
| nsx_metadata.rule_id | ID de règle DFW::IDS auquel le paquet correspond. |
| nsx_metadata.profile_id | ID de profil de contexte utilisé par la règle correspondante. |
| nsx_metadata.user_id | ID de l'utilisateur dont le trafic a généré l'événement. |
| nsx_metadata.vm_uuid | Identifiant de la machine virtuelle dont le trafic a généré l'événement. |
| alert.action | Action effectuée par nsx-idps sur le paquet (autorisé/bloqué). Dépend de l'action de règle configurée. |
| alert.gid, alert.signature_id, alert.rev | Identifiant de la signature et de sa révision. Une signature peut conserver le même identifiant et être mise à jour vers une version plus récente en augmentant la révision. |
| alert.signature | Brève description de la menace détectée. |
| alert.category | Catégorie de la menace détectée. Il s'agit généralement d'une catégorisation très approximative/inexacte. Les détails du mode sont disponibles dans alert.metadata. |
| alert.severity | Priorité de la signature, telle qu'elle est dérivée de la catégorie d'alerte. Les alertes de priorité plus élevée sont généralement associées à des menaces plus graves. |
| alert.source/alert.target | Informations sur la direction de l'attaque, qui ne correspond pas nécessairement à la direction du flux. La source de l'alerte sera le point de terminaison d'attaque, tandis que la cible de l'alerte sera la victime de l'attaque. |
| alert.metadata.detector_id | Identifiant interne de la détection utilisée par le composant NDR pour associer les métadonnées et la documentation sur les menaces. |
| alert.metadata.severity | Plage de 0 à 100 de la gravité de la menace. Cette valeur est une fonction du alert.metadata.threat_class_name. |
| alert.metadata.confidence | Plage comprise entre 0 et 100 du degré de confiance en l'exactitude de la détection. Les signatures qui sont publiées malgré le risque de faux positifs signalent un faible degré de confiance (<50). |
| alert.metadata.exploited | Modificateur pour indiquer si l'attaquant signalé dans la détection est susceptible d'être un hôte compromis (c'est-à-dire que les informations du point de terminaison ne doivent pas être considérées comme un IoC fiable). |
| alert.metadata.blacklist_mode | Interne uniquement. |
| alert.metadata.ids_mode | Mode d'opération de la signature. Les valeurs possibles actuelles sont REAL (produit des détections en mode réel dans le produit NDR) et INFO (produit des détections info-mode dans le produit NDR). |
| alert.metadata.threat_name | Nom de la menace détectée. Le nom de la menace est organisé dans le contexte du produit NDR dans le cadre d'une ontologie bien définie et constitue la source d'informations la plus fiable sur la nature de l'attaque. |
| alert.metadata.threat_class_name | Nom de la classe de haut niveau de l'attaque à laquelle la menace se rapporte. Les catégories de menaces sont des catégories de haut niveau avec des valeurs telles que « command&control », « drive-by » et « exploit ». |
| alert.metadata.server_side | Modificateur pour indiquer si la menace est destinée à avoir une incidence sur les serveurs ou les clients. Cela équivaut aux informations exprimées par les attributs alert.source et alert.target. |
| alert.metadata.flip_endpoints | Modificateur pour indiquer si la signature doit correspondre sur les paquets circulant d'un serveur vers un client plutôt que d'un client vers un serveur. |
| alert.metadata.ll_expected_verifier | Interne uniquement. |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | Informations sur le nombre de paquets/octets qui ont été vus dans un flux donné au moment de l'alerte. Notez que ces informations n'expriment pas la quantité totale de paquets appartenant au flux. Ces informations expriment les nombres partiels au moment où l'alerte a été générée. |
| flow.start | Horodatage du premier paquet appartenant au flux. |
