Vous pouvez surveiller les événements et afficher les données des 14 derniers jours.
- Critères de filtre. Sélectionnez l'une des options suivantes :
Critères de filtrage Description Cible de l'attaque Cible de l'attaque. Type d'attaque Type d'attaque, cheval de Troie ou déni de service (DoS), par exemple. CVSS Score de vulnérabilité commun (filtre basé sur un score au-dessus d'un seuil défini). Nom de la passerelle Nom de la passerelle sur laquelle l'événement a été enregistré. Adresse IP Adresse IP sur laquelle l'événement a été enregistré. Produit concerné Produit ou (version) vulnérable, tel que Windows XP ou Web_Browsers. ID de signature ID unique de la règle de signature. Nom de la machine virtuelle VM (basée sur le port logique) sur laquelle l'événement a été enregistré. - Trafic : sélectionnez l'une des options suivantes :
- Tout le trafic
- Distribué uniquement
- Passerelle uniquement
- Actions de signature : sélectionnez l'une des options suivantes :
- Afficher toutes les signatures
- Abandonné (empêché)
- Rejeté (empêché)
- Alerte (détection uniquement)
- Degré de gravité : sélectionnez l'une des options suivantes :
- Critique
- Élevé
- Moyen
- Faible
- Suspect
Vous pouvez basculer le bouton Chronologie pour afficher ou masquer le graphique de chronologie basé sur les degrés de gravité. Le graphique présente les événements qui se sont produits pendant une période sélectionnée. Vous pouvez effectuer un zoom avant sur la fenêtre de temps spécifique sur ce graphique pour afficher les détails des signatures des événements associés qui se sont produits lors de la fenêtre de temps.
- Points rouges : représentent les événements à signature de gravité critique.
- Points orange : représentent des événements à signature de gravité élevée.
- Points jaunes : représentent des événements à signature de gravité moyenne.
- Points gris : représentent des événements à signature de gravité faible.
- Violet : représente les événements de signature de gravité suspects.
Toutes les tentatives d'intrusion pour une signature particulière sont regroupées et tracées à leur première occurrence.
Détails | Description |
---|---|
Score d'impact | Le score d'incidence est une valeur combinée du score de risque (gravité de la menace) et du score de confiance (niveau de détection correct). |
Gravité | Gravité de la signature de l'intrusion. |
Dernière détection | Il s'agit de la dernière fois que la signature a été déclenchée. |
Détails | Brève description du ciblage de la signature. |
Utilisateurs concernés | Nombre d'utilisateurs qui ont été concernés par l'événement. |
Charges de travail | Nombre de charges de travail affectées. Cliquez ici pour afficher les détails de la charge de travail affectée. |
Détails CVE | Référence CVE de la vulnérabilité ciblée par l'exploit. |
CVSS | Score de vulnérabilité commun de la vulnérabilité ciblée par l'exploit. |
Détails de l'événement d'intrusion (dernière occurrence) - Source | Adresse IP de l'attaquant et port source utilisés. |
Détails de l'événement d'intrusion (dernière occurrence) - Passerelle | Détails du nœud Edge qui contiennent la charge de travail sur laquelle l'événement a été enregistré. |
Détails de l'événement d'intrusion (dernière occurrence) - Hyperviseur | Détails du nœud de transport qui contiennent la charge de travail sur laquelle l'événement a été enregistré. |
Détails de l'événement d'intrusion (dernière occurrence) - Cible | Adresse IP de la victime et port de destination utilisés. |
Direction de l'attaque | Client-Serveur ou Serveur-Client. |
Cible de l'attaque | Cible de l'attaque. |
Type d'attaque | Type d'attaque, cheval de Troie ou déni de service (DoS), par exemple. |
Produit concerné | Illustre le produit qui est vulnérable à l'exploitation. |
Nombre total d'événements | Nombre total de tentatives d'intrusion pour l'événement. |
Activité d'intrusion | Affiche le nombre total de déclenchements de cette signature IDS spécifique, de l'occurrence la plus récente et de la première occurrence. |
Service | Informations de protocole associées à l'événement. |
ID de signature | ID unique de la signature IDS. |
Révision de la signature | Numéro de révision de la signature IDS. |
Technique de Mitre | Technique MITRE ATT&CK décrivant l'activité détectée. |
Tactique de Mitre | Tactique MITRE ATT&CK décrivant l'activité détectée. |
Règle IDS associée | Lien hypertexte vers la règle IDS configurée qui a généré cet événement. |
Détails | Description |
---|---|
Heure de détection | Il s'agit de la dernière fois que la signature a été déclenchée. |
Type de trafic | Il peut s'agir de Distribué ou de Passerelle. Distribué indique le flux de trafic est-ouest et Passerelle indique le flux de trafic nord-sud. |
Charges de travail/adresses IP affectées | Nombre de machines virtuelles ou d'adresses IP ayant rencontré l'attaque ou la vulnérabilité indiquée pour un flux de trafic donné. |
Tentatives | Nombre de tentatives d'intrusion effectuées pour une attaque ou une vulnérabilité au cours d'un flux de trafic donné. |
Source | Adresse IP de l'attaquant. |
Destination | Adresse IP de la victime. |
Protocole | Protocole de trafic de l'intrusion détectée. |
Règle | Règle à laquelle la signature appartient (via le profil). |
Profil | Profil auquel la signature appartient. |
Action | L'une des actions suivantes qui a été déclenchée pour l'événement :
|
- Action
- Adresse IP de destination
- Port de destination
- Protocole
- Règle
- IP source
- Port source
- Type de trafic
Journalisation
Les composants NSX écrivent dans des fichiers journaux dans le répertoire /var/log. Sur les dispositifs NSX, les messages Syslog de NSX sont conformes à RFC 5424. Sur les hôtes ESXi, les messages Syslog sont conformes à RFC 3164.
- fast.log : contient la journalisation interne des événements de processus nsx-idps avec des informations limitées. Cette valeur est utilisée uniquement à des fins de débogage.
- nsx-idps-events.log : contient des informations détaillées sur les événements (toutes les alertes/abandons/rejets) avec des métadonnées NSX.
- Architecture mutualisée
-
À partir de
NSX 4.1.1, l'architecture mutualisée est également prise en charge pour
NSX IDS/IPS.
Le contexte du locataire est consigné lors du traitement des messages de configuration. Le contexte est consigné pour les messages suivants :
- IdsSignaturesMsg
- ContextProfileMsg
- SecurityFeatureToggleMsg
- RuleMsg : le message de règle ne contient pas directement le contexte du locataire. Il est récupéré à partir de RuleSectioMsg.
- GlobalConfigMsg
Ces journaux sont stockés dans /var/log/nsx-syslog.log. Si le VPC ou le projet est manquant, des chaînes vides sont imprimées dans les champs de contexte du locataire. Si l'organisation est manquante, aucun des trois champs contextuels de locataire n'est imprimé.
- API de journalisation
-
Par défaut, le syslog IDS/IPS n'est pas activé. Exécutez l'API suivante pour interroger les paramètres actuels.
GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Exemple de réponse :
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": false, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", "path": "/infra/settings/firewall/security/intrusion-services", "relative_path": "intrusion-services", "parent_path": "/infra", "unique_id": "5035623f-255e-4153-945a-cc320451e4a0", "realization_id": "5035623f-255e-4153-945a-cc320451e4a0", "marked_for_delete": false, "overridden": false, "_create_time": 1665948964775, "_create_user": "system", "_last_modified_time": 1680466910136, "_last_modified_user": "admin", "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 5 }
Pour activer l'envoi de journaux IDS/IPS NSX à un référentiel central de journaux, exécutez l'API suivante et définissez la variable ids_events_to_syslog sur true.
PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Exemple de demande :
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": true, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", . . . }
Ces événements sont exportés directement depuis des hôtes ESXi. Assurez-vous donc que Syslog distant est configuré sur l'hôte ESXi. Vous devez également vous assurer que le gestionnaire NSX et les hôtes ESXi sont configurés pour transférer les messages Syslog vers le référentiel central de journaux.
Pour plus d'informations sur les API IDS/IPS, reportez-vous au Guide des API NSX. Pour plus d'informations sur la configuration de la journalisation à distance, reportez-vous à Configurer la journalisation à distance et à toutes les informations associées sous la section Messages de journal et codes d'erreur.