Vous pouvez surveiller les événements et afficher les données des 14 derniers jours.

Pour afficher les événements d'intrusion, accédez à Sécurité > IDS/IPS. Vous pouvez filtrer les événements en fonction des critères suivants :
  • Critères de filtre. Sélectionnez l'une des options suivantes :
    Critères de filtrage Description
    Cible de l'attaque Cible de l'attaque.
    Type d'attaque Type d'attaque, cheval de Troie ou déni de service (DoS), par exemple.
    CVSS Score de vulnérabilité commun (filtre basé sur un score au-dessus d'un seuil défini).
    Nom de la passerelle Nom de la passerelle sur laquelle l'événement a été enregistré.
    Adresse IP Adresse IP sur laquelle l'événement a été enregistré.
    Produit concerné Produit ou (version) vulnérable, tel que Windows XP ou Web_Browsers.
    ID de signature ID unique de la règle de signature.
    Nom de la machine virtuelle VM (basée sur le port logique) sur laquelle l'événement a été enregistré.
  • Trafic : sélectionnez l'une des options suivantes :
    • Tout le trafic
    • Distribué uniquement
    • Passerelle uniquement
  • Actions de signature : sélectionnez l'une des options suivantes :
    • Afficher toutes les signatures
    • Abandonné (empêché)
    • Rejeté (empêché)
    • Alerte (détection uniquement)
  • Degré de gravité : sélectionnez l'une des options suivantes :
    • Critique
    • Élevé
    • Moyen
    • Faible
    • Suspect

Vous pouvez basculer le bouton Chronologie pour afficher ou masquer le graphique de chronologie basé sur les degrés de gravité. Le graphique présente les événements qui se sont produits pendant une période sélectionnée. Vous pouvez effectuer un zoom avant sur la fenêtre de temps spécifique sur ce graphique pour afficher les détails des signatures des événements associés qui se sont produits lors de la fenêtre de temps.

Sur le graphique de chronologie, les points en couleur indiquent le type unique d'événements d'intrusion, et vous pouvez cliquer dessus pour obtenir plus de détails. La taille du point indique le nombre de fois qu'un événement d'intrusion a été observé. Un point clignotant indique qu'une attaque est en cours. Pointez vers un point pour afficher le nom de l'attaque, le nombre de tentatives, la première occurrence et d'autres détails.
  • Points rouges : représentent les événements à signature de gravité critique.
  • Points orange : représentent des événements à signature de gravité élevée.
  • Points jaunes : représentent des événements à signature de gravité moyenne.
  • Points gris : représentent des événements à signature de gravité faible.
  • Violet : représente les événements de signature de gravité suspects.

Toutes les tentatives d'intrusion pour une signature particulière sont regroupées et tracées à leur première occurrence.

Cliquez sur la flèche en regard d'un événement pour en afficher les détails.
Détails Description
Score d'impact

Le score d'incidence est une valeur combinée du score de risque (gravité de la menace) et du score de confiance (niveau de détection correct).

Gravité Gravité de la signature de l'intrusion.
Dernière détection Il s'agit de la dernière fois que la signature a été déclenchée.
Détails Brève description du ciblage de la signature.
Utilisateurs concernés Nombre d'utilisateurs qui ont été concernés par l'événement.
Charges de travail Nombre de charges de travail affectées. Cliquez ici pour afficher les détails de la charge de travail affectée.
Détails CVE

Référence CVE de la vulnérabilité ciblée par l'exploit.

CVSS

Score de vulnérabilité commun de la vulnérabilité ciblée par l'exploit.

Détails de l'événement d'intrusion (dernière occurrence) - Source Adresse IP de l'attaquant et port source utilisés.
Détails de l'événement d'intrusion (dernière occurrence) - Passerelle Détails du nœud Edge qui contiennent la charge de travail sur laquelle l'événement a été enregistré.
Détails de l'événement d'intrusion (dernière occurrence) - Hyperviseur Détails du nœud de transport qui contiennent la charge de travail sur laquelle l'événement a été enregistré.
Détails de l'événement d'intrusion (dernière occurrence) - Cible Adresse IP de la victime et port de destination utilisés.
Direction de l'attaque Client-Serveur ou Serveur-Client.
Cible de l'attaque Cible de l'attaque.
Type d'attaque Type d'attaque, cheval de Troie ou déni de service (DoS), par exemple.
Produit concerné Illustre le produit qui est vulnérable à l'exploitation.
Nombre total d'événements Nombre total de tentatives d'intrusion pour l'événement.
Activité d'intrusion Affiche le nombre total de déclenchements de cette signature IDS spécifique, de l'occurrence la plus récente et de la première occurrence.
Service Informations de protocole associées à l'événement.
ID de signature

ID unique de la signature IDS.

Révision de la signature Numéro de révision de la signature IDS.
Technique de Mitre Technique MITRE ATT&CK décrivant l'activité détectée.
Tactique de Mitre Tactique MITRE ATT&CK décrivant l'activité détectée.
Règle IDS associée Lien hypertexte vers la règle IDS configurée qui a généré cet événement.
Pour afficher l'historique complet des intrusions, cliquez sur le lien Afficher l'historique complet des événements. Une fenêtre s'ouvre avec les détails suivants :
Détails Description
Heure de détection Il s'agit de la dernière fois que la signature a été déclenchée.
Type de trafic

Il peut s'agir de Distribué ou de Passerelle. Distribué indique le flux de trafic est-ouest et Passerelle indique le flux de trafic nord-sud.

Charges de travail/adresses IP affectées Nombre de machines virtuelles ou d'adresses IP ayant rencontré l'attaque ou la vulnérabilité indiquée pour un flux de trafic donné.
Tentatives Nombre de tentatives d'intrusion effectuées pour une attaque ou une vulnérabilité au cours d'un flux de trafic donné.
Source Adresse IP de l'attaquant.
Destination Adresse IP de la victime.
Protocole Protocole de trafic de l'intrusion détectée.
Règle Règle à laquelle la signature appartient (via le profil).
Profil Profil auquel la signature appartient.
Action L'une des actions suivantes qui a été déclenchée pour l'événement :
  • Annuler
  • Rejeter
  • Alerte
Vous pouvez également filtrer l'historique des intrusions en fonction des critères suivants :
  • Action
  • Adresse IP de destination
  • Port de destination
  • Protocole
  • Règle
  • IP source
  • Port source
  • Type de trafic

Journalisation

Les composants NSX écrivent dans des fichiers journaux dans le répertoire /var/log. Sur les dispositifs NSX, les messages Syslog de NSX sont conformes à RFC 5424. Sur les hôtes ESXi, les messages Syslog sont conformes à RFC 3164.

Il existe deux fichiers de journaux d'événements locaux associés IDS/IPS dans le dossier /var/log/nsx-idps sur les hôtes ESXi :
  • fast.log : contient la journalisation interne des événements de processus nsx-idps avec des informations limitées. Cette valeur est utilisée uniquement à des fins de débogage.
  • nsx-idps-events.log : contient des informations détaillées sur les événements (toutes les alertes/abandons/rejets) avec des métadonnées NSX.
Architecture mutualisée
À partir de NSX 4.1.1, l'architecture mutualisée est également prise en charge pour NSX IDS/IPS.

Le contexte du locataire est consigné lors du traitement des messages de configuration. Le contexte est consigné pour les messages suivants :

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg : le message de règle ne contient pas directement le contexte du locataire. Il est récupéré à partir de RuleSectioMsg.
  5. GlobalConfigMsg

Ces journaux sont stockés dans /var/log/nsx-syslog.log. Si le VPC ou le projet est manquant, des chaînes vides sont imprimées dans les champs de contexte du locataire. Si l'organisation est manquante, aucun des trois champs contextuels de locataire n'est imprimé.

Pour plus d'informations sur l'architecture mutualisée, reportez-vous à la section Architecture mutualisée NSX.
API de journalisation

Par défaut, le syslog IDS/IPS n'est pas activé. Exécutez l'API suivante pour interroger les paramètres actuels.

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Exemple de réponse :

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

Pour activer l'envoi de journaux IDS/IPS NSX à un référentiel central de journaux, exécutez l'API suivante et définissez la variable ids_events_to_syslog sur true.

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Exemple de demande :

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

Ces événements sont exportés directement depuis des hôtes ESXi. Assurez-vous donc que Syslog distant est configuré sur l'hôte ESXi. Vous devez également vous assurer que le gestionnaire NSX et les hôtes ESXi sont configurés pour transférer les messages Syslog vers le référentiel central de journaux.

Pour plus d'informations sur les API IDS/IPS, reportez-vous au Guide des API NSX. Pour plus d'informations sur la configuration de la journalisation à distance, reportez-vous à Configurer la journalisation à distance et à toutes les informations associées sous la section Messages de journal et codes d'erreur.