Quando la registrazione è abilitata per NSX-T IDS/ IPS, è possibile esaminare i file di registro per risolvere i problemi.
Di seguito è disponibile un file di registro di esempio per NSX-T IDS/ IPS, che si trova in /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| Campo | Descrizione |
|---|---|
| Data e ora | Data e ora del pacchetto in cui è stato attivato l'avviso. |
| flow_id | L'identificatore univoco per ogni flusso monitorato da nsx-idps. |
| event_type | Il tipo di evento generato dal motore IDPS. Per gli avvisi, il tipo di evento sarà sempre "avviso" (indipendentemente dall'azione eseguita). |
| src_ip | IP di origine del pacchetto in cui è stato attivato l'avviso. In base alle caratteristiche dell'avviso, potrebbe essere l'indirizzo del client o l'indirizzo del server. Fare riferimento al campo "direzione" per determinare il client. |
| src_port | Porta di origine del pacchetto sulla quale è stato attivato l'avviso. |
| dest_ip | IP di destinazione del pacchetto in cui è stato attivato l'avviso. |
| dest_port | Porta di destinazione del pacchetto sulla quale è stato attivato l'avviso. |
| proto | Protocollo IP del pacchetto su cui è stato attivato l'avviso. |
| direzione | La direzione del pacchetto rispetto alla direzione del flusso. Il valore sarà "to_server" per un pacchetto che scorre da client a server e "to_client" per un pacchetto che scorre da server a client. |
Tutti i campi non inclusi nella tabella Metadati NSX sono solo per uso interno.
| Metadati NSX | Descrizione |
|---|---|
| metadata.flowbits e metadata.flowints | Questo campo costituisce un dump dello stato del flusso interno. Le variabili vengono impostate in modo dinamico da varie firme o script Lua che operano nel flusso specifico. La semantica e la natura dei campi sono principalmente interne e possono variare in base agli aggiornamenti dei bundle IDS. |
| nsx_metadata.flow_src_ip | Indirizzo IP del client. Può essere derivato esaminando gli endpoint dei pacchetti e la direzione dei pacchetti. |
| nsx_metadata.flow_dest_ip | Indirizzo IP del server. |
| nsx_metadata.flow_dir | La direzione del flusso rispetto alla macchina virtuale di origine. Il valore è 1 per i flussi in entrata verso la macchina virtuale monitorata e 2 per i flussi in uscita verso la macchina virtuale monitorata. |
| nsx_metadata.rule_id | L'ID della regola DFW::IDS a cui corrisponde il pacchetto. |
| nsx_metadata.profile_id | L'ID profilo del contesto utilizzato dalla regola corrispondente. |
| nsx_metadata.user_id | L'ID utente il cui traffico ha generato l'evento. |
| nsx_metadata.vm_uuid | L'identificatore della macchina virtuale il cui traffico ha generato l'evento. |
| alert.action | L'azione eseguita da nsx-idps sul pacchetto (Consentito/Bloccato). Dipende dall'azione della regola configurata. |
| alert.gid, alert.signature_id, alert.rev | L'identificatore della firma e la sua revisione. Una firma può mantenere lo stesso identificatore ed essere aggiornata a una versione più recente aumentando la revisione. |
| alert.signature | Una breve descrizione della minaccia rilevata. |
| alert.category | La categoria della minaccia rilevata. Si tratta in genere di una categorizzazione molto approssimativa/imprecisa. I dettagli della modalità sono disponibili in alert.metadata. |
| alert.severity | La priorità della firma, così come derivata dalla categoria di avviso. Gli avvisi con priorità più alta sono in genere associati a minacce più gravi. |
| alert.source/alert.target | Informazioni sulla direzione dell'attacco che non corrispondono necessariamente alla direzione del flusso. L'origine dell'avviso sarà l'endpoint dell'attacco, mentre la destinazione dell'avviso sarà la vittima dell'attacco. |
| alert.metadata.detector_id | Identificatore interno del rilevamento utilizzato dal componente NDR per associare i metadati e la documentazione delle minacce. |
| alert.metadata.severity | Intervallo da 0 a 100 della gravità della minaccia. Questo valore è una funzione di alert.metadata.threat_class_name. |
| alert.metadata.confidence | Intervallo da 0 a 100 del livello di fiducia nella correttezza del rilevamento. Le firme rilasciate nonostante la possibilità di falsi positivi riportano un basso livello di fiducia (<50). |
| alert.metadata.exploited | Un modificatore per indicare se l'autore dell'attacco segnalato nel rilevamento è probabilmente un host compromesso (ovvero le informazioni dell'endpoint non devono essere considerate un IoC affidabile). |
| alert.metadata.blacklist_mode | Solo per uso interno. |
| alert.metadata.ids_mode | La modalità operativa per la firma. I valori possibili correnti sono REAL (produce rilevamenti in modalità reale nel prodotto NDR) e INFO (produce rilevamenti in modalità informazioni nel prodotto NDR). |
| alert.metadata.threat_name | Nome della minaccia rilevata. Il nome della minaccia viene selezionato nel contesto del prodotto NDR come parte di un'ontologia ben definita e rappresenta la fonte di informazioni più affidabile sulla natura dell'attacco. |
| alert.metadata.threat_class_name | Nome della classe di alto livello dell'attacco a cui appartiene la minaccia. Le classi di minaccia sono categorie di alto livello con valori come "command&control", "drive-by" e "exploit". |
| alert.metadata.server_side | Modificatore per indicare se la minaccia ha lo scopo di influire sui server o sui client. È equivalente alle informazioni espresse dagli attributi alert.source e alert.target. |
| alert.metadata.flip_endpoints | Un modificatore per indicare se la firma deve corrispondere ai pacchetti che passano dal server al client, anziché dal client al server. |
| alert.metadata.ll_expected_verifier | Solo per uso interno. |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | Informazioni sul numero di pacchetti/byte visualizzati in un determinato flusso al momento dell'avviso. Si noti che queste informazioni non esprimono la quantità totale di pacchetti appartenenti al flusso. Queste informazioni esprimono i conteggi parziali rispetto al momento in cui l'avviso è stato generato. |
| flow.start | Data e ora del primo pacchetto appartenente al flusso. |
