È possibile monitorare gli eventi e visualizzare i dati degli ultimi 14 giorni.
- Criterio di filtro. Selezionare una delle seguenti opzioni:
Criterio di filtro Descrizione Destinazione dell'attacco Destinazione dell'attacco. Tipo di attacco Tipo di attacco, come ad esempio trojan o DoS (Denial of Service). CVSS Punteggio vulnerabilità comune (filtro in base a un punteggio superiore a una soglia impostata). Nome gateway Nome del gateway in cui è stato registrato l'evento. Indirizzo IP Indirizzo IP in cui è stato registrato l'evento. Prodotto interessato Prodotto vulnerabile (o versione), ad esempio Windows XP o browser Web. ID firma ID univoco della regola della firma. Nome macchina virtuale Macchina virtuale (basata sulla porta logica) in cui è stato registrato l'evento. - Traffico: selezionare una delle seguenti opzioni:
- Tutto il traffico
- Solo distribuito
- Solo gateway
- Azioni firma: selezionare una delle seguenti opzioni:
- Mostra tutte le firme
- Ignorata (impedita)
- Rifiutata (impedita)
- Avviso (solo rilevamento)
- Valutazione gravità: selezionare una delle seguenti opzioni:
- Critico
- Alto
- Medio
- Basso
- Sospetta
È possibile attivare o disattivare il pulsante Cronologia per visualizzare o nascondere il grafico cronologico basato sulle valutazioni di gravità. Il grafico presenta gli eventi che si sono verificati in un intervallo di tempo selezionato. È possibile ingrandire la finestra temporale specifica di questo grafico per visualizzare i dettagli delle firme degli eventi correlati che si sono verificati durante la finestra temporale.
- Punti rossi: rappresentano gli eventi di firma di gravità critica.
- Punti arancioni: rappresentano gli eventi di firma di gravità elevata.
- Punti gialli: rappresentano gli eventi di firma di gravità media.
- Punti grigi: rappresentano gli eventi di firma di bassa gravità.
- Viola: rappresenta gli eventi di firma di gravità sospetta.
Tutti i tentativi di intrusione per una firma particolare vengono raggruppati e inseriti alla prima occorrenza.
| Dettaglio | Descrizione |
|---|---|
| Punteggio dell'impatto | Il punteggio dell'impatto è un valore combinato del punteggio del rischio (la gravità della minaccia) e del punteggio di affidabilità (se la forza del rilevamento è corretta). |
| Gravità | Gravità della firma dell'intrusione. |
| Ultimo rilevamento | Questa è l'ultima volta in cui è stata attivata la firma. |
| Dettagli | Breve descrizione della destinazione della firma. |
| Utenti interessati | Numero di utenti interessati dall'evento. |
| Carichi di lavoro | Numero di carichi di lavoro interessati. Fare clic su per visualizzare i dettagli dei carichi di lavoro interessati. |
| Dettagli CVE | Riferimento CVE della vulnerabilità di destinazione dall'exploit. |
| CVSS | Punteggio di vulnerabilità comune della vulnerabilità di destinazione dall'exploit. |
| Dettagli evento intrusione (occorrenza più recente): fonte | Indirizzo IP dell'utente malintenzionato e porta di origine utilizzati. |
| Dettagli evento intrusione (occorrenza più recente): gateway | Dettagli del nodo Edge che contiene il carico di lavoro in cui è stato registrato l'evento. |
| Dettagli evento intrusione (occorrenza più recente): hypervisor | Dettagli del nodo di trasporto che contiene il carico di lavoro in cui è stato registrato l'evento. |
| Dettagli evento intrusione (occorrenza più recente): destinazione | Indirizzo IP della vittima e porta di destinazione utilizzata. |
| Direzione attacco | Client-Server o Server-Client. |
| Destinazione dell'attacco | Destinazione dell'attacco. |
| Tipo di attacco | Tipo di attacco, come ad esempio trojan o DoS (Denial of Service). |
| Prodotto interessato | Illustra il prodotto vulnerabile all'exploit. |
| Eventi totali | Numero totale di tentativi di intrusione per l'evento. |
| Attività di intrusione | Visualizza il numero totale di volte in cui è stata attivata questa firma IDS particolare, l'occorrenza più recente e la prima occorrenza. |
| Servizio | Informazioni sul protocollo associate all'evento. |
| ID firma | ID univoco della regola della firma IDS. |
| Revisione firma | Numero di revisione della firma IDS. |
| Tecnica Mitre | La tecnica MITRE ATT&CK descrive l'attività rilevata. |
| Tattica Mitre | La tattica MITRE ATT&CK descrive l'attività rilevata. |
| Regola IDS associata | Link selezionabile alla regola IDS configurata che ha generato questo evento. |
| Dettaglio | Descrizione |
|---|---|
| Ora rilevata | Questa è l'ultima volta in cui è stata attivata la firma. |
| Tipo di traffico | Potrebbe essere Distribuito o Gateway. Distribuito indica il flusso del traffico est-ovest e gateway indica il flusso del traffico nord-sud. |
| Carichi di lavoro/IP interessati | Numero di macchine virtuali o indirizzi IP che hanno raggiunto l'attacco o la vulnerabilità forniti per un determinato flusso di traffico. |
| Tentativi | Numero di tentativi di intrusione effettuati per un attacco o una vulnerabilità durante un determinato flusso di traffico. |
| Origine | Indirizzo IP dell'autore dell'attacco. |
| Destinazione | Indirizzo IP della vittima. |
| Protocollo | Protocollo del traffico dell'intrusione rilevata. |
| Regola | Regola a cui appartiene la firma (tramite il profilo). |
| Profilo | Profilo a cui appartiene la firma. |
| Azione | Una delle seguenti azioni che sono state attivate in base all'evento:
|
- Azione
- IP di destinazione
- Porta di destinazione
- Protocollo
- Regola
- IP di origine
- Porta di origine
- Tipo di traffico
Registrazione
I componenti di NSX scrivono nei file di registro nella directory /var/log. Sulle appliance NSX, i messaggi syslog di NSX sono conformi al protocollo RFC 5424. Sugli host ESXi, i messaggi syslog sono conformi al protocollo RFC 3164.
- fast.log: contiene la registrazione interna degli eventi del processo nsx-idps, con informazioni limitate e viene utilizzato solo a scopo di debug.
- nsx-idps-events.log: contiene informazioni dettagliate sugli eventi (tutti gli avvisi/eliminazioni/rifiuti) con i metadati NSX.
Per impostazione predefinita, il syslog IDS/IPS non è abilitato. Per visualizzare le impostazioni correnti, eseguire l'API seguente.
GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Risposta di esempio:
{
"auto_update": true,
"ids_ever_enabled": true,
"ids_events_to_syslog": false,
"oversubscription": "BYPASSED",
"resource_type": "IdsSettings",
"id": "intrusion-services",
"display_name": "intrusion-services",
"path": "/infra/settings/firewall/security/intrusion-services",
"relative_path": "intrusion-services",
"parent_path": "/infra",
"unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
"realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
"marked_for_delete": false,
"overridden": false,
"_create_time": 1665948964775,
"_create_user": "system",
"_last_modified_time": 1680466910136,
"_last_modified_user": "admin",
"_system_owned": false,
"_protection": "NOT_PROTECTED",
"_revision": 5
}
Per abilitare l'invio dei registri IDS/IPS di NSX a un repository di registri centrale, eseguire l'API seguente e impostare la variabile ids_events_to_syslog su true.
PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
Richiesta di esempio:
{
"auto_update": true,
"ids_ever_enabled": true,
"ids_events_to_syslog": true,
"oversubscription": "BYPASSED",
"resource_type": "IdsSettings",
"id": "intrusion-services",
"display_name": "intrusion-services",
.
.
.
}
Poiché questi eventi vengono esportati direttamente dagli host ESXi, assicurarsi che il syslog remoto sia configurato nell'host ESXi. È inoltre necessario assicurarsi che anche NSX Manager e gli host ESXi siano configurati per l'inoltro dei messaggi syslog al repository dei registri centrale.
Per informazioni sulle API per ID/IPS, vedere la Guida alle API di NSX. Per ulteriori informazioni sulla configurazione della registrazione remota, vedere Configurazione della registrazione remota e tutte le informazioni correlate nella sezione Messaggi del registro e codici di errore.
