Lorsque la journalisation est activée pour NSX-T IDS/IPS, vous pouvez consulter les fichiers journaux pour résoudre les problèmes.

Vous trouverez ci-après un exemple de fichier journal pour NSX-T IDS/IPS, situé dans /var/log/nsx-idps/nsx-idps-events.log :
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
Champ Description
Horodatage Horodatage du paquet au-dessus duquel l'alerte a été déclenchée.
flow_id Identifiant unique pour chaque flux suivi par nsx-idps.
event_type Type d'événement généré par le moteur IDPS. Pour les alertes, le type d'événement sera toujours « alerte » (quelle que soit l'action effectuée).
src_ip Adresse IP source du paquet au-dessus de laquelle l'alerte s'est déclenchée. Selon les caractéristiques de l'alerte, il peut s'agir de l'adresse du client ou de l'adresse du serveur. Reportez-vous au champ « direction » pour déterminer le client.
src_port Port source du paquet au-dessus duquel l'alerte s'est déclenchée.
dest_ip Adresse IP de destination du paquet au-dessus de laquelle l'alerte s'est déclenchée.
dest_port Port de destination du paquet au-dessus duquel l'alerte s'est déclenchée.
proto Protocole IP du paquet au-dessus duquel l'alerte s'est déclenchée.
direction Direction du paquet par rapport à la direction du flux. La valeur sera « to_server » pour un paquet circulant du client vers le serveur et « to_client » pour un paquet circulant du serveur vers le client.

Tous les champs non inclus dans le tableau Métadonnées NSX sont destinés à une utilisation interne uniquement.

Métadonnées NSX Description
metadata.flowbits et metadata.flowints Ce champ constitue un vidage de l'état du flux interne. Les variables sont dynamiquement définies par diverses signatures ou scripts Lua fonctionnant sur le flux spécifique. La sémantique et la nature des champs sont principalement internes et peuvent varier selon les mises à jour des bundles IDS.
nsx_metadata.flow_src_ip Adresse IP du client. Peut être dérivée en examinant les points de terminaison des paquets et dans la direction du paquet.
nsx_metadata.flow_dest_ip Adresse IP du serveur.
nsx_metadata.flow_dir Direction du flux par rapport à la machine virtuelle d'origine. La valeur est 1 pour les flux entrants vers la machine virtuelle surveillée et 2 pour les flux sortants vers la machine virtuelle surveillée.
nsx_metadata.rule_id ID de règle DFW::IDS auquel le paquet correspond.
nsx_metadata.profile_id ID de profil de contexte utilisé par la règle correspondante.
nsx_metadata.user_id ID de l'utilisateur dont le trafic a généré l'événement.
nsx_metadata.vm_uuid Identifiant de la machine virtuelle dont le trafic a généré l'événement.
alert.action Action effectuée par nsx-idps sur le paquet (autorisé/bloqué). Dépend de l'action de règle configurée.
alert.gid, alert.signature_id, alert.rev Identifiant de la signature et de sa révision. Une signature peut conserver le même identifiant et être mise à jour vers une version plus récente en augmentant la révision.
alert.signature Brève description de la menace détectée.
alert.category Catégorie de la menace détectée. Il s'agit généralement d'une catégorisation très approximative/inexacte. Les détails du mode sont disponibles dans alert.metadata.
alert.severity Priorité de la signature, telle qu'elle est dérivée de la catégorie d'alerte. Les alertes de priorité plus élevée sont généralement associées à des menaces plus graves.
alert.source/alert.target Informations sur la direction de l'attaque, qui ne correspond pas nécessairement à la direction du flux. La source de l'alerte sera le point de terminaison d'attaque, tandis que la cible de l'alerte sera la victime de l'attaque.
alert.metadata.detector_id Identifiant interne de la détection utilisée par le composant NDR pour associer les métadonnées et la documentation sur les menaces.
alert.metadata.severity Plage de 0 à 100 de la gravité de la menace. Cette valeur est une fonction du alert.metadata.threat_class_name.
alert.metadata.confidence Plage comprise entre 0 et 100 du degré de confiance en l'exactitude de la détection. Les signatures qui sont publiées malgré le risque de faux positifs signalent un faible degré de confiance (<50).
alert.metadata.exploited Modificateur pour indiquer si l'attaquant signalé dans la détection est susceptible d'être un hôte compromis (c'est-à-dire que les informations du point de terminaison ne doivent pas être considérées comme un IoC fiable).
alert.metadata.blacklist_mode Interne uniquement.
alert.metadata.ids_mode Mode d'opération de la signature. Les valeurs possibles actuelles sont REAL (produit des détections en mode réel dans le produit NDR) et INFO (produit des détections info-mode dans le produit NDR).
alert.metadata.threat_name Nom de la menace détectée. Le nom de la menace est organisé dans le contexte du produit NDR dans le cadre d'une ontologie bien définie et constitue la source d'informations la plus fiable sur la nature de l'attaque.
alert.metadata.threat_class_name Nom de la classe de haut niveau de l'attaque à laquelle la menace se rapporte. Les catégories de menaces sont des catégories de haut niveau avec des valeurs telles que « command&control », « drive-by » et « exploit ».
alert.metadata.server_side Modificateur pour indiquer si la menace est destinée à avoir une incidence sur les serveurs ou les clients. Cela équivaut aux informations exprimées par les attributs alert.source et alert.target.
alert.metadata.flip_endpoints Modificateur pour indiquer si la signature doit correspondre sur les paquets circulant d'un serveur vers un client plutôt que d'un client vers un serveur.
alert.metadata.ll_expected_verifier Interne uniquement.
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient Informations sur le nombre de paquets/octets qui ont été vus dans un flux donné au moment de l'alerte. Notez que ces informations n'expriment pas la quantité totale de paquets appartenant au flux. Ces informations expriment les nombres partiels au moment où l'alerte a été générée.
flow.start Horodatage du premier paquet appartenant au flux.