Monitoraggio degli eventi IDS/IPS

È possibile monitorare gli eventi e visualizzare i dati degli ultimi 14 giorni.

Per visualizzare gli eventi di intrusione, passare a Sicurezza > IDS/IPS. È possibile filtrare gli eventi in base ai seguenti criteri:

Criterio di filtro. Selezionare una delle seguenti opzioni:

Criterio di filtro	Descrizione
Destinazione dell'attacco	Destinazione dell'attacco.
Tipo di attacco	Tipo di attacco, come ad esempio trojan o DoS (Denial of Service).
CVSS	Punteggio vulnerabilità comune (filtro in base a un punteggio superiore a una soglia impostata).
Nome gateway	Nome del gateway in cui è stato registrato l'evento.
Indirizzo IP	Indirizzo IP in cui è stato registrato l'evento.
Prodotto interessato	Prodotto vulnerabile (o versione), ad esempio Windows XP o browser Web.
ID firma	ID univoco della regola della firma.
Nome macchina virtuale	Macchina virtuale (basata sulla porta logica) in cui è stato registrato l'evento.

Traffico: selezionare una delle seguenti opzioni:
- Tutto il traffico
- Solo distribuito
- Solo gateway
Azioni firma: selezionare una delle seguenti opzioni:
- Mostra tutte le firme
- Ignorata (impedita)
- Rifiutata (impedita)
- Avviso (solo rilevamento)
Valutazione gravità: selezionare una delle seguenti opzioni:
- Critico
- Alto
- Medio
- Basso
- Sospetta

È possibile attivare o disattivare il pulsante Cronologia per visualizzare o nascondere il grafico cronologico basato sulle valutazioni di gravità. Il grafico presenta gli eventi che si sono verificati in un intervallo di tempo selezionato. È possibile ingrandire la finestra temporale specifica di questo grafico per visualizzare i dettagli delle firme degli eventi correlati che si sono verificati durante la finestra temporale.

Nel grafico cronologico, i punti colorati indicano il tipo univoco di eventi intrusione su cui è possibile fare clic per visualizzare i dettagli. La dimensione del punto indica il numero di volte in cui è stato visualizzato un evento intrusione. Un punto lampeggiante indica che un attacco è in corso. Passare su un punto per visualizzare il nome dell'attacco, il numero di tentativi, la prima occorrenza e altri dettagli.

Punti rossi: rappresentano gli eventi di firma di gravità critica.
Punti arancioni: rappresentano gli eventi di firma di gravità elevata.
Punti gialli: rappresentano gli eventi di firma di gravità media.
Punti grigi: rappresentano gli eventi di firma di bassa gravità.
Viola: rappresenta gli eventi di firma di gravità sospetta.

Tutti i tentativi di intrusione per una firma particolare vengono raggruppati e inseriti alla prima occorrenza.

Fare clic sulla freccia accanto a un evento per visualizzare i dettagli.

Dettaglio	Descrizione
Punteggio dell'impatto	Il punteggio dell'impatto è un valore combinato del punteggio del rischio (la gravità della minaccia) e del punteggio di affidabilità (se la forza del rilevamento è corretta).
Gravità	Gravità della firma dell'intrusione.
Ultimo rilevamento	Questa è l'ultima volta in cui è stata attivata la firma.
Dettagli	Breve descrizione della destinazione della firma.
Utenti interessati	Numero di utenti interessati dall'evento.
Carichi di lavoro	Numero di carichi di lavoro interessati. Fare clic su per visualizzare i dettagli dei carichi di lavoro interessati.
Dettagli CVE	Riferimento CVE della vulnerabilità di destinazione dall'exploit.
CVSS	Punteggio di vulnerabilità comune della vulnerabilità di destinazione dall'exploit.
Dettagli evento intrusione (occorrenza più recente): fonte	Indirizzo IP dell'utente malintenzionato e porta di origine utilizzati.
Dettagli evento intrusione (occorrenza più recente): gateway	Dettagli del nodo Edge che contiene il carico di lavoro in cui è stato registrato l'evento.
Dettagli evento intrusione (occorrenza più recente): hypervisor	Dettagli del nodo di trasporto che contiene il carico di lavoro in cui è stato registrato l'evento.
Dettagli evento intrusione (occorrenza più recente): destinazione	Indirizzo IP della vittima e porta di destinazione utilizzata.
Direzione attacco	Client-Server o Server-Client.
Destinazione dell'attacco	Destinazione dell'attacco.
Tipo di attacco	Tipo di attacco, come ad esempio trojan o DoS (Denial of Service).
Prodotto interessato	Illustra il prodotto vulnerabile all'exploit.
Eventi totali	Numero totale di tentativi di intrusione per l'evento.
Attività di intrusione	Visualizza il numero totale di volte in cui è stata attivata questa firma IDS particolare, l'occorrenza più recente e la prima occorrenza.
Servizio	Informazioni sul protocollo associate all'evento.
ID firma	ID univoco della regola della firma IDS.
Revisione firma	Numero di revisione della firma IDS.
Tecnica Mitre	La tecnica MITRE ATT&CK descrive l'attività rilevata.
Tattica Mitre	La tattica MITRE ATT&CK descrive l'attività rilevata.
Regola IDS associata	Link selezionabile alla regola IDS configurata che ha generato questo evento.

Per visualizzare la cronologia completa delle intrusioni, fare clic sul link Visualizza cronologia completa eventi. Viene aperta una finestra con i seguenti dettagli:

Dettaglio	Descrizione
Ora rilevata	Questa è l'ultima volta in cui è stata attivata la firma.
Tipo di traffico	Potrebbe essere Distribuito o Gateway. Distribuito indica il flusso del traffico est-ovest e gateway indica il flusso del traffico nord-sud.
Carichi di lavoro/IP interessati	Numero di macchine virtuali o indirizzi IP che hanno raggiunto l'attacco o la vulnerabilità forniti per un determinato flusso di traffico.
Tentativi	Numero di tentativi di intrusione effettuati per un attacco o una vulnerabilità durante un determinato flusso di traffico.
Origine	Indirizzo IP dell'autore dell'attacco.
Destinazione	Indirizzo IP della vittima.
Protocollo	Protocollo del traffico dell'intrusione rilevata.
Regola	Regola a cui appartiene la firma (tramite il profilo).
Profilo	Profilo a cui appartiene la firma.
Azione	Una delle seguenti azioni che sono state attivate in base all'evento: Elimina Rifiuta Avviso

È inoltre possibile filtrare la cronologia delle intrusioni in base ai seguenti criteri:

Azione
IP di destinazione
Porta di destinazione
Protocollo
Regola
IP di origine
Porta di origine
Tipo di traffico

Registrazione remota

I componenti di NSX-T Data Center scrivono nei file di registro nella directory /var/log. Nelle appliance di NSX-T Data Center e negli host KVM, i messaggi del syslog di NSX-T Data Center sono conformi alla RFC 5424. Sugli host ESXi, i messaggi syslog sono conformi al protocollo RFC 3164.

Sono disponibili tre file di registro eventi nella cartella /var/log/nsx-idps negli host di ESXi:

fast log: contiene la registrazione interna degli eventi del processo nsx-idps, con informazioni limitate e viene utilizzato solo a scopo di debug.
nsx-idps-log: contiene i registri dei processi nsx-idps generali con informazioni di base ed errori relativi al workflow del processo.
nsx-idps-events.log: contiene informazioni dettagliate sugli eventi (tutti gli avvisi/eliminazioni/rifiuti) con i metadati NSX.

Per abilitare l'invio di registri IDS/IPS NSX-T Data Center a un repository di registri centrale, utilizzare le API seguenti.

Per visualizzare le impostazioni correnti, eseguire l'API seguente.

GET https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

{
   ...
   "global_idsevents_to_syslog_enabled": false,
   ...
 }

Se la variabile global_idsevents_to_syslog.enabled è impostata su false, eseguire l'API seguente per impostarla su true.

PUT https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

Result:
    {
      "global_idsevents_to_syslog_enabled": true,
      "_revision": <revision number from GET>
     }

Questi eventi vengono esportati direttamente dagli host ESXi in modo da assicurarsi che il syslog remoto sia configurato nell'host ESXi.

È inoltre necessario assicurarsi che anche NSX-T Data Center Manager e gli host ESXi siano configurati per l'inoltro dei messaggi syslog al repository dei registri centrale.

Per ulteriori informazioni sulla configurazione della registrazione remota, vedere Configurazione della registrazione remota e tutte le informazioni correlate nella sezione Messaggi del registro e codici di errore.