Rilevamento delle minacce e risposta

Questa scheda fornisce informazioni chiave sullo stato corrente di vari problemi di sicurezza nel data center. Queste funzionalità consentono ai team di sicurezza di comprendere ciò che accade nella rete e dove concentrarsi.

Campagne

Una campagna è un insieme di eventi di minaccia correlati che utilizzano tattiche e tecniche MITRE specifiche. Gli eventi di minaccia possono essere mappati alle fasi MITRE ATT&CK per definire una storia di attacco. Le campagne possono spaziare da un singolo gruppo di eventi di rilevamento in un breve periodo di tempo ad attacchi complessi su più fronti in un periodo di tempo esteso. Una campagna consente di visualizzare la sequenza temporale completa dell'evento di minaccia in modo da poter rispondere e valutare rapidamente.

Se la funzionalità VMware NSX^® Network Detection and Response™ è attivata, questo widget mostra le seguenti statistiche sulla campagna.

• Numero totale di campagne identificate da NSX Network Detection and Response durante il periodo di tempo e attualmente attive nella rete.
• Numero totale di campagne ad alto impatto in corso durante il periodo di tempo selezionato.
• Numero totale di campagne ad alto impatto aperte durante il periodo di tempo selezionato.
• Numero totale di macchine virtuali interessate dalle campagne identificate durante il periodo di tempo selezionato.

Fare clic su Vai a Campagne per visualizzare ulteriori dettagli nella pagina Campagne dell'interfaccia utente di NSX Network Detection and Response. Per ulteriori informazioni sulla funzionalità NSX Network Detection and Response, vedere NSX Network Detection and Response.

IDS/IPS

• La schermata di riepilogo IDS/IPS mostra quanto segue:

• Voce	Descrizione
  Eventi intrusioni	Visualizza il numero totale di eventi di intrusione come collegamento selezionabile e il numero di intrusioni che hanno generato avvisi o prevenzione.
  Firme intrusioni univoche	Visualizza un grafico con il numero di intrusioni rilevate in ogni categoria di gravità.
  Eventi per tipi di attacco principali	Visualizza un grafico in base ai tipi di attacco.

• Riepilogo di IDS/IPS distribuiti

  Voce	Descrizione
  Trend per gravità delle intrusioni	Visualizza un grafico con i trend di gravità con il numero di eventi di intrusione per volta.
  Distribuzione	Visualizza un grafico radar per mostrare la distribuzione in base a tipo di attacco, destinazione dell'attacco o gravità per un periodo compreso tra 48 ore e 14 giorni.
  Macchine virtuali principali	Visualizza le macchine virtuali principali in cui è stato effettuato il tentativo di intrusione.

• Riepilogo di IDS/IPS di gateway

  Voce	Descrizione
  Trend per gravità delle intrusioni	Visualizza un grafico con i trend di gravità con il numero di eventi di intrusione per volta.
  Distribuzione	Visualizza un grafico radar per mostrare la distribuzione in base a tipo di attacco, destinazione dell'attacco o gravità per un periodo compreso tra 48 ore e 14 giorni.
  IP principali	Visualizza gli IP principali in cui è stato tentato il tentativo di intrusione.

Analisi del nome di dominio completo

Viene visualizzata la schermata di riepilogo dell'analisi dell'FQDN:

• Numero totale di URL ispezionati e relativo livello di gravità.
• Le categorie di URL principali che hanno il maggior numero di nomi di dominio completi ispezionati.
• URL di gravità più elevata, con la data e l'ora.

Filtro URL

Selezionare un gateway specifico o tutti i gateway per visualizzare le seguenti informazioni:

• Distribuzione degli URL per valutazione di gravità.
• Livello di gravità degli URL consentiti e visualizzazione delle prime cinque categorie con il maggior numero di URL ispezionati.
• Evidenzia le prime cinque categorie di URL che hanno il maggior numero di URL bloccati.
• La distribuzione univoca dei siti visualizza i primi cinque siti con il maggior numero di URL consentiti. Evidenzia i primi cinque siti che hanno il maggior numero di URL bloccati.

IP dannosi

Per il firewall distribuito, è possibile configurare un feed di IP dannosi per scaricare un elenco di IP dannosi noti. È possibile bloccare l'accesso a questi IP tramite le regole del firewall e monitorare il sistema per eventuali eccezioni. La schermata di monitoraggio include tre grafici con le seguenti informazioni.

• I principali IP bloccati insieme al numero totale di volte che gli IP sono stati bloccati.

• Macchine virtuali principali che accedono a o a cui accedono IP dannosi insieme al numero totale di IP dannosi che accedono a o a cui accedono le macchine virtuali.

• Le categorie principali bloccate insieme al numero totale di volte che le categorie sono state bloccate.

Il sistema mostra inoltre i primi 5 elementi di ciascun gruppo di dati.

Se si fa clic su un punto dati qualsiasi nel grafico, si apre la pagina Filtro e analisi con le informazioni dettagliate su tale punto dati. Tenere presente che il filtro nella pagina è impostato sul punto dati su cui è stato fatto clic. È possibile rimuovere il filtro e visualizzare l'elenco di tutti gli IP dannosi.

Prevenzione malware

Mostra le seguenti statistiche degli eventi del file per un periodo di tempo selezionato in formato grafico:

• Numero totale di eventi di file ispezionati, eventi di file dannosi, eventi di file sospetti e file bloccati.
• Numero di ispezioni di file per diversi intervalli di punteggio di minaccia.
• Primi cinque file ispezionati di recente nel data center ordinati in base a data e ora.
• Primi cinque file dannosi rilevati nel data center.
• Tendenza di eventi di file dannosi, eventi di file sospetti ed eventi di file eliminati nel data center.
• Distribuzione delle ispezioni di file in base alla famiglia di malware a cui appartengono i file.
• Ripartizione delle ispezioni di file in base al tipo di analisi eseguita (analisi del file locale, analisi del file cloud).

Attività di rete sospette

Se VMware NSX^® Intelligence™ è attivato, in questa scheda vengono visualizzate le statistiche seguenti (in formato grafico) relative agli eventi sospetti o anomali rilevati durante il periodo di tempo selezionato.

• Un cerchio mostra il numero totale di anomalie rilevate durante il periodo di tempo selezionato. Il cerchio è composto da segmenti colorati che rappresentano il numero di eventi anomali rilevati e la tecnica e le tattiche MITRE antagonistiche utilizzate per rilevare gli eventi.
• Elenco di eventi sospetti rilevati in base alle stesse tattiche e tecniche MITRE utilizzate nel rilevamento e numero di volte in cui si sono verificati durante il periodo di tempo selezionato.
• Grafico a barre che mostra il numero di anomalie rilevate, suddivise per gravità.

Fare clic su Visualizza tutto per visualizzare ulteriori informazioni sugli eventi sospetti rilevati utilizzando la pagina Traffico sospetto. Per ulteriori informazioni sulla funzionalità Traffico sospetto NSX, vedere la documentazione di Utilizzo e gestione di VMware NSX Intelligence per la versione 3.2 e successive all'indirizzo https://docs.vmware.com/it/VMware-NSX-Intelligence/index.html.

Ispezione TLS

L'ispezione TLS e la decrittografia forniscono un modo sicuro per contrastare l'ingresso delle minacce presenti nel traffico Web aziendale. La funzionalità utilizza un proxy TLS per intercettare in modo trasparente il traffico crittografato sulle connessioni TLS e consentire servizi di sicurezza di NSX come firewall di livello 7, IDS e filtro URL per ispezionare i contenuti e applicare i criteri di sicurezza. È possibile utilizzare una procedura guidata o seguire manualmente il workflow per impostare il criterio e le regole.

Il dashboard Panoramica della sicurezza mostra le seguenti informazioni sulla connessione TLS e sul certificato quando sono attivati.

• Il grafico ad anello mostra i dettagli di riepilogo della connessione TLS, tra cui:
  • Ignorata a causa di errori
  • Decrittografata
  • Errori di connessione
  • Ignorata a causa delle regole
• Connessioni e regole
  • Connessioni totali
  • Connessioni aperte
  • CPS
  • Riscontri regola
• Il grafico ad anello mostra i dettagli relativi alla memorizzazione dei certificati nella cache, tra cui:
  • Riscontri nella cache
  • Certificati memorizzati nella cache
  • Mancati riscontri nella cache
• Traffico
  • Dettagli sulla velocità effettiva, da client a server e da server a client
  • Dettagli del traffico totale, da client a server e da server a client

Configurazione

Questa pagina fornisce anche visualizzazioni dettagliate delle impostazioni di sicurezza per:

Widget firewall gateway

Evidenzia le impostazioni di sicurezza del firewall del gateway. Fare clic sui collegamenti per visualizzare i gateway in cui sono attivate le seguenti funzionalità di sicurezza:

• IDS/IPS
• Prevenzione malware
• Ispezione TLS

Per visualizzare i gateway con queste funzionalità di sicurezza, è necessario distribuire almeno una delle funzionalità di sicurezza precedenti nel data center.

Widget firewall distribuito

Evidenzia i criteri totali del firewall distribuito utilizzando grafici. Fare clic per visualizzare dettagli come i raggruppamenti dei criteri, i servizi principali utilizzati dai criteri di sicurezza est-ovest, nonché le relative azioni (Consenti, Rilascia e Rifiuta) e le regole totali del firewall distribuito.

Widget protezione endpoint

Mostra un riepilogo della configurazione della protezione endpoint per le macchine virtuali. È possibile visualizzare la distribuzione delle macchine virtuali in base al profilo di servizio, i componenti che presentano problemi e le macchine virtuali configurate che eseguono File Introspection.

Widget sessioni utente del firewall di identità

Visualizza il numero di sessioni utente IDFW attive.

Widget prevenzione malware

Questo widget dell'interfaccia utente mostra i problemi quando uno qualsiasi dei componenti del servizio Prevenzione malware distribuita NSX è inattivo o non funziona.

Ad esempio:

• Il grafico a barre mostra un problema quando Security Hub nella macchina virtuale del servizio (SVM) di Prevenzione malware NSX è inattivo. Puntare sulla barra per visualizzare i seguenti dettagli:
  • Numero di SVM di Prevenzione malware NSX interessate.
  • Numero di macchine virtuali del carico di lavoro nell'host che hanno perso la protezione di sicurezza da malware a causa dell'inattività di Security Hub.
• Il grafico ad anello mostra i seguenti dettagli:
  • Numero di macchine virtuali del carico di lavoro in cui è in esecuzione il driver di NSX File Introspection.
  • Numero di macchine virtuali del carico di lavoro in cui il driver di NSX File Introspection non è in esecuzione.

  Per entrambe queste metriche, vengono considerate solo le macchine virtuali del carico di lavoro nei cluster di host attivati per Prevenzione malware distribuita NSX.

Capacità