Détection des menaces et Réponse

Cet onglet fournit des informations clés sur l'état actuel des différents problèmes de sécurité de votre centre de données. Ces fonctionnalités aident les équipes de sécurité à comprendre ce qui se passe sur le réseau et où concentrer ses efforts.

Campagnes

Une campagne est un ensemble d'événements de menaces associés qui utilisent des tactiques et des techniques MITRE spécifiques. Les événements de menaces peuvent être mappés à des étapes MITRE ATT&CK pour définir un récit d'attaque. Les campagnes peuvent aller d'un seul groupe d'événements de détection pendant une courte période à des attaques complexes sur plusieurs fronts pendant une période prolongée. Une campagne permet d'afficher la chronologie complète des événements de menaces afin que vous puissiez y répondre et la classer rapidement.

Si la fonctionnalité VMware NSX^® Network Detection and Response™ est activée, ce widget affiche les statistiques de campagnes suivantes.

• Nombre total de campagnes identifiées par NSX Network Detection and Response pendant la période et qui sont actuellement actives dans votre réseau.
• Nombre total de campagnes à forte incidence en cours pendant la période sélectionnée.
• Nombre total de campagnes ouvertes à forte incidence pendant la période sélectionnée.
• Nombre total de VM affectées par les campagnes identifiées pendant la période sélectionnée.

Cliquez sur Accéder aux campagnes pour afficher plus de détails sur la page Campagnes de l'interface utilisateur de NSX Network Detection and Response. Pour en savoir plus sur la fonctionnalité NSX Network Detection and Response, reportez-vous à la section NSX Network Detection and Response.

IDS/IPS

• L'écran Résumé IDS/IPS affiche les éléments suivants :

• Entrée	Description
  Événements d'intrusion	Affiche le nombre total d'événements d'intrusion sous forme de lien cliquable, ainsi que le nombre d'intrusions ayant généré des alertes ou une protection.
  Signatures d'intrusion uniques	Affiche un graphique du nombre d'intrusions détectées dans chaque catégorie de gravité.
  Événements par types d'attaque principale	Affiche un graphique basé sur les types d'attaque.

• Résumé IDS/IPS distribué

  Entrée	Description
  Tendance par gravité de l'intrusion	Affiche un graphique avec la tendance de la gravité indiquant le nombre d'événements d'intrusion par heure.
  Distribution	Affiche un graphique en radar pour afficher la distribution en fonction du type d'attaque, de la cible de l'attaque ou de la gravité pendant une période de 48 heures à 14 jours.
  Principales VM	Affiche les principales VM sur lesquelles une tentative d'intrusion a eu lieu.

• Résumé IDS/IPS de la passerelle

  Entrée	Description
  Tendance par gravité de l'intrusion	Affiche un graphique avec la tendance de la gravité indiquant le nombre d'événements d'intrusion par heure.
  Distribution	Affiche un graphique en radar pour afficher la distribution en fonction du type d'attaque, de la cible de l'attaque ou de la gravité pendant une période de 48 heures à 14 jours.
  Principales adresses IP	Affiche les principales adresses IP sur lesquelles une tentative d'intrusion a eu lieu.

Analyse du nom de domaine complet

L'écran Résumé d'analyse du nom de domaine complet affiche les éléments suivants :

• Nombre total d'URL inspectées et niveau de gravité de celles-ci.
• Principales catégories d'URL ayant le plus grand nombre de noms de domaine complets inspectés.
• URL ayant la gravité la plus élevée avec la date et l'heure.

Filtrage d'URL

Sélectionnez une passerelle spécifique ou toutes les passerelles pour afficher les informations suivantes :

• Distribution des URL par degré de gravité.
• Niveau de gravité des URL autorisées et affiche les cinq principales catégories ayant le plus grand nombre d'URL inspectées.
• Met en évidence les cinq principales catégories d'URL ayant le plus grand nombre d'URL bloquées.
• La distribution de site unique affiche les cinq principaux sites ayant le plus grand nombre d'URL autorisées. Met en évidence les cinq principaux sites ayant le plus grand nombre d'URL bloquées.

Adresses IP malveillantes

Pour le pare-feu distribué, vous pouvez configurer des flux IP malveillants pour télécharger une liste d'adresses IP malveillantes connues. Vous pouvez bloquer l'accès à ces adresses IP via des règles de pare-feu et surveiller le système à la recherche d'exceptions. L'écran de surveillance affiche trois graphiques avec les informations suivantes.

• Principales adresses IP bloquées, ainsi que le nombre total de fois où les adresses IP sont bloquées.

• Principales machines virtuelles accédant ou accessibles par des adresses IP malveillantes, ainsi que le nombre total d'adresses IP malveillantes auxquelles ont accédé ou auxquelles les machines virtuelles ont accès.

• Principales catégories bloquées, ainsi que le nombre total de fois où les catégories sont bloquées.

Le système affiche également les 5 principaux éléments de chaque groupe de données.

Cliquez sur n'importe quel point de données sur le graphique pour ouvrir la page Filtre et effectuer une analyse avec des informations détaillées sur ce point de données. Notez que le filtre sur la page est défini sur le point de données sur lequel vous avez cliqué. Vous pouvez supprimer le filtre et afficher la liste de toutes les adresses IP malveillantes.

Protection contre les programmes malveillants

Affiche les statistiques d'événements de fichiers suivantes pendant une période sélectionnée dans un format graphique :

• Nombre total d'événements de fichiers inspectés, d'événements de fichiers malveillants, d'événements de fichier suspects et de fichiers bloqués.
• Nombre d'inspections de fichiers pour différentes plages de score de menace.
• Les cinq principaux fichiers récemment inspectés dans le centre de données sont triés par horodatage.
• Cinq principaux fichiers malveillants détectés dans le centre de données.
• Tendance d'événements de fichiers malveillants, d'événements de fichiers suspects et d'événements de fichiers supprimés dans le centre de données.
• Distribution des inspections de fichiers basée sur la famille de programmes malveillants auquel appartiennent les fichiers.
• Répartition des inspections de fichiers par type d'analyse effectué (analyse de fichier local, analyse de fichier cloud).

Activité réseau suspecte

Si VMware NSX^® Intelligence™ est activé, cet onglet affiche les statistiques suivantes (au format graphique) sur les événements suspects ou anormaux détectés pendant la période sélectionnée.

• Un cercle indique le nombre total d'anomalies détectées pendant la période sélectionnée. Le cercle est composé de segments de couleur représentant le nombre d'événements anormaux détectés, ainsi que les tactiques et les techniques antagonistes MITRE utilisées pour détecter les événements.
• Liste d'événements suspects détectés classés dans les mêmes tactiques et techniques MITRE utilisées dans leur détection, et nombre de fois où ils se sont produits pendant la période sélectionnée.
• Graphique à barres indiquant le nombre d'anomalies détectées, classées selon leur gravité.

Cliquez sur Afficher tout pour afficher plus d'informations sur les événements suspects détectés à l'aide de la page Trafic suspect. Pour en savoir plus sur la fonctionnalité Trafic suspect NSX, reportez-vous à la documentation Utilisation et gestion de VMware NSX Intelligence pour la version 3.2 et ultérieures à l'adresse https://docs.vmware.com/fr/VMware-NSX-Intelligence/index.html.

Inspection TLS

L'inspection et le déchiffrement TLS offrent un moyen sécurisé de cibler l'afflux de menaces présentes dans le trafic Web d'entreprise. La fonctionnalité utilise le proxy TLS pour intercepter de manière transparente le trafic chiffré sur les connexions TLS et permet aux services de sécurité NSX, tels que les pare-feu de couche 7, IDS et le filtrage d'URL d'inspecter le contenu et d'appliquer vos stratégies de sécurité. Vous pouvez utiliser un assistant ou suivre manuellement le workflow pour définir les stratégies et les règles.

Le tableau de bord Présentation de la sécurité affiche les détails de certificat et de connexion TLS suivants lorsqu'il est activé.

• Le graphique en anneau affiche les détails du résumé de la connexion TLS, notamment :
  • Contourné en raison de pannes
  • Déchiffré
  • Échecs de connexion
  • Contourné en raison de règles
• Connexions et règles
  • Connexions totales
  • Connexions ouvertes
  • CPS
  • Correspondances des règles
• Le graphique en anneau affiche les détails de la mise en cache du certificat, notamment :
  • Accès au cache
  • Certificats mis en cache
  • Échecs dans le cache
• Trafic
  • Détails du débit, y compris du client vers le serveur et du serveur vers le client
  • Informations sur le trafic total, y compris du client vers serveur et du serveur vers le client

Configuration

Cette page fournit également des vues détaillées des paramètres de sécurité pour les éléments suivants :

Widget de pare-feu de passerelle

Met en évidence les paramètres de sécurité du pare-feu de passerelle. Cliquez sur les liens pour afficher les passerelles sur lesquelles les fonctionnalités de sécurité suivantes sont activées :

• IDS/IPS
• Protection contre les programmes malveillants
• Inspection TLS

Pour afficher les passerelles avec ces fonctionnalités de sécurité, vous devez déployer au moins l'une des fonctionnalités de sécurité ci-dessus dans votre centre de données.

Widget de pare-feu distribué

Met en évidence le nombre total de stratégies de pare-feu distribué à l'aide de graphiques. Cliquez pour afficher des détails tels que les regroupements de stratégies, les principaux services utilisés par les stratégies de sécurité est-ouest, ainsi que leurs actions (autoriser, annuler et rejeter) et les règles totales de pare-feu distribué.

Widget de protection du point de terminaison

Affiche un résumé de la configuration de la protection du point de terminaison pour les machines virtuelles. Vous pouvez afficher la distribution de VM par profil de service, les composants présentant des problèmes et les VM configurées exécutant l'introspection de fichiers.

Widget de sessions utilisateur du pare-feu d'identité

Affiche le nombre de sessions utilisateur actives IDFW.

Widget de protection contre les programmes malveillants

Ce widget d'interface utilisateur affiche les problèmes lorsque l'un des composants du service Protection contre les programmes malveillants distribués NSX est en panne ou ne fonctionne pas.

Par exemple :

• Le graphique à barres montre un problème lorsque le Hub de sécurité sur la machine virtuelle de service (SVM) Protection contre les programmes malveillants NSX est inactif. Pointez sur la barre pour afficher les détails suivants :
  • Nombre de SVM Protection contre les programmes malveillants NSX affectées.
  • Nombre de machines virtuelles de charge de travail sur l'hôte qui ont perdu la protection de sécurité contre les programmes malveillants en raison de l'arrêt du hub de sécurité.
• Le graphique en anneau affiche les détails suivants :
  • Nombre de machines virtuelles de charge de travail sur lesquelles le pilote Introspection de fichiers NSX est en cours d'exécution.
  • Nombre de machines virtuelles de charge de travail sur lesquelles le pilote Introspection de fichiers NSX n'est pas en cours d'exécution.

  Pour ces deux mesures, seules les machines virtuelles de charge de travail sur les clusters d'hôtes activés pour Protection contre les programmes malveillants distribués NSX sont prises en compte.

Capacité