Utilizzo di vRealize Log Insight per i registri di sicurezza unificati

È possibile visualizzare i registri dei flussi di sicurezza dell'ambiente NSX utilizzando VMware Aria Operations for Logs.

Le seguenti funzionalità di sicurezza supportano la registrazione del flusso:

Ispezione TLS
Gateway IDPS
Filtro URL

Nota:

A partire da NSX 3.2.1, l'ispezione TLS e l'IDPS del gateway sono disponibili per gli ambienti di produzione e sono completamente supportati. In NSX 3.2.0, queste funzionalità erano disponibili solo in modalità anteprima tecnica. Per ulteriori informazioni, vedere il Note di rilascio di NSX.

Registri di sicurezza unificati

Tutti i segmenti verticali della sicurezza generano e salvano i registri dei flussi di sicurezza unificati nel formato Registri di sicurezza unificati in un singolo file di registro in un nodo. Questo singolo registro viene esportato nel server syslog, configurato per VMware Aria Operations for Logs. VMware Aria Operations for Logs elaborerà quindi i registri per fornire ulteriore gestione, analisi e visualizzazione dei registri utilizzando il pacchetto di contenuti NSX.

Visualizzare i registri su vRealize Log Insight

Nuovo dashboard "NSX - Registri del flusso di sicurezza unificato" viene aggiunto nel pacchetto di contenuti NSX esistente. Questo dashboard mostra i widget del grafico, che sono la rappresentazione visiva dei registri del flusso di sicurezza.

Il pacchetto di contenuti VMware Aria Operations for Logs è un plug-in. Contiene dashboard, campi estratti, query salvate e avvisi correlati a un prodotto o a un set di registri specifico.

Il pacchetto di contenuti di NSX è disponibile su VMware Aria Operations for Logs Marketplace.

Per ulteriori informazioni su VMware Aria Operations for Logs e su come installare il Pacchetto di contenuti da Marketplace pacchetto di contenuti, vedere il capitolo Installazione di un pacchetto di contenuti da Marketplace pacchetto di contenuti nel documento del prodotto Utilizzo di VMware Aria Operations for Logs.

Top-N e Ultime X ore

É anche possibile eseguire query sugli eventi in VMware Aria Operations for Logs per informazioni Top-N dalle ultime X ore utilizzando Funzionalità analitiche interattive e Pacchetto di contenuti.

Server di registrazione remota

Per inviare i registri a un server di registrazione remota, è necessario configurare separatamente le appliance e gli hypervisor di NSX con la registrazione remota in ciascun nodo.

Nota: Per inviare i registri al server syslog, è necessario abilitare la registrazione per le regole specifiche di NSX Manager.

Per ulteriori informazioni, vedere Configurazione della registrazione remota.

Se non si ricevono i registri dal server di registrazione remoto, consultare Risoluzione dei problemi di Syslog.

Formato dei Registri di sicurezza unificati

È inoltre possibile recuperare i registri del flusso in /var/log/syslog | grep 'unified-logs' sugli Edge. Ad esempio, per

Ispezione TLS:

2021-10-12T09:00:46.192Z nsxedge-18734920-1-mps29 NSX 22621 SYSTEM [nsx@6876 comp="nsx-edge" 
subcomp="tls-proxy" s2comp="unified-logs" level="INFO"] {"event_type": "fw-flow-terminate-log", 
"event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "79427614-4a0d-2692-032c-eb4692f717a9", 
"node_uuid": "ec11a626-f425-3bc2-671d-a656500003b2"}, "flow": {"start": "2021-10-12T09:00:46.723Z", 
"end": "2021-10-12T09:00:46.773Z", "ip_ver": "ipv4", "flow_id": "0x1e0000704f000018", 
"src_ip": "192.168.100.160", "src_port": 25700, "dest_ip": "1.1.5.10", "dest_port": 443, "proto": "TCP", "tcp_flags": "",
"bytes_toserver": 95, "bytes_toclient": 29873, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1002,
"direction": "", "rule_tag": ""}, "http": {"http_method": "", "hostname": "www.facebook.com", "url": "www.facebook.com/benign_pdf1.pdf", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SOCIAL_NETWORK"", "site_reputation": "Trustworthy"},"tls_inspection": {"action": "PASS", "rule_id": 1008, "domain": "www.facebook.com", "cert_status": "ok", "tls_version_toserver": "TLSv1.2",
"cipher_to_server": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "reason": "", "tls_rule_tag": "TLS External Rule"}, "idps": {"action": "PASS", "rule_id": 1007,
"ids_profile_id": "00000000-0000-0000-0000-000000000000", "alert_event": ["SOCIAL_NETWORK"], "protocol_event": ["http"]}, "app_id": {"app": ""APP_HTTP", "APP_FACEBOOK", "APP_SSL""}

Gateway IDPS:

2021-11-11T04:07:37.489Z nsxedge-18866667-2-NAT-fc-3-nov NSX 27330 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
 {"event_type": "fw-flow-terminate-log", "event_trigger": ["ids-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91", 
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-11T04:07:07.000Z", "end": "2021-11-11T04:07:37.000Z",
"ip_ver": "ipv4", "flow_id": "0xd44d00306e0a0004", "src_ip": "1.1.1.10", "src_port": 35714, "dest_ip": "10.142.7.1", "dest_port": 53,
"proto": "UDP", "tcp_flags": "FPW", "bytes_toserver": 297878, "bytes_toclient": 71, "pkts_toserver": 71, "pkts_toclient": 1, 
"reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 2025, "direction": "", "rule_tag": ""},
"l7profile": {"entry_id": "00000000-0000-0000-0000-000000000000", "action": "PASS"}, 
"http": {"http_method": "", "hostname": "", "url": "", "scheme": "", "http_user_agent": "", "status": "", "site_category": "", 
"site_reputation": "UNKNOWN"}, "idps": {"action": "IDP_DETECT", "rule_id": 2028, "ids_profile_id": "9872e27a-ead4-4c93-af5f-4df1ec0c73e1", 
"alert_event": [], "protocol_event": []}, "app_id": {"app": ""APP_DNS""}}

Filtro URL:

2021-11-08T08:30:59.208Z nsxedge-18866667-2-NAT-fc-3-nov NSX 9495 SYSTEM [nsx@6876 comp="nsx-edge" subcomp="datapathd" s2comp="unified-logs" level="INFO"]
{"event_type": "fw-flow-terminate-log", "event_trigger": ["fw-rule-log"], "origin": {"fw_type": "gateway", "fw_uuid": "544ee558-fad0-e624-019f-e8e3e0472c91",
"node_uuid": "dabf16c9-ec11-833c-0c00-8c832f771729"}, "flow": {"start": "2021-11-08T08:30:57.000Z", "end": "2021-11-08T08:30:59.000Z",
"ip_ver": "ipv4", "flow_id": "0x4001006c04000000", "src_ip": "1.1.1.10", "src_port": 43600, "dest_ip": "13.226.234.18", 
"dest_port": 80, "proto": "TCP", "tcp_flags": "FREW", "bytes_toserver": 54968, "bytes_toclient": 444, 
"pkts_toserver": 444, "pkts_toclient": 7, "reason": "FIN-close", "final_action": "PASS"}, "fw": {"action": "PASS", "rule_id": 1004, "direction": "",
"rule_tag": ""}, "l7profile": {"entry_id": "e9580107-2749-471c-be82-715d530bf4d4", "action": "PASS"},
"http": {"http_method": "", "hostname": "", "url": "espn.com/", "scheme": "", "http_user_agent": "", "status": "",
"site_category": ""SPORTS"", "site_reputation": "TRUSTWORTHY"}, "app_id": {"app": ""APP_HTTP", "APP_ESPN""}}