Quando la registrazione è abilitata per NSX-T IDS/ IPS, è possibile esaminare i file di registro per risolvere i problemi.

Di seguito è disponibile un file di registro di esempio per NSX-T IDS/ IPS, che si trova in /var/log/nsx-idps/nsx-idps-events.log:
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
Campo Descrizione
Data e ora Data e ora del pacchetto in cui è stato attivato l'avviso.
flow_id L'identificatore univoco per ogni flusso monitorato da nsx-idps.
event_type Il tipo di evento generato dal motore IDPS. Per gli avvisi, il tipo di evento sarà sempre "avviso" (indipendentemente dall'azione eseguita).
src_ip IP di origine del pacchetto in cui è stato attivato l'avviso. In base alle caratteristiche dell'avviso, potrebbe essere l'indirizzo del client o l'indirizzo del server. Fare riferimento al campo "direzione" per determinare il client.
src_port Porta di origine del pacchetto sulla quale è stato attivato l'avviso.
dest_ip IP di destinazione del pacchetto in cui è stato attivato l'avviso.
dest_port Porta di destinazione del pacchetto sulla quale è stato attivato l'avviso.
proto Protocollo IP del pacchetto su cui è stato attivato l'avviso.
direzione La direzione del pacchetto rispetto alla direzione del flusso. Il valore sarà "to_server" per un pacchetto che scorre da client a server e "to_client" per un pacchetto che scorre da server a client.

Tutti i campi non inclusi nella tabella Metadati NSX sono solo per uso interno.

Metadati NSX Descrizione
metadata.flowbits e metadata.flowints Questo campo costituisce un dump dello stato del flusso interno. Le variabili vengono impostate in modo dinamico da varie firme o script Lua che operano nel flusso specifico. La semantica e la natura dei campi sono principalmente interne e possono variare in base agli aggiornamenti dei bundle IDS.
nsx_metadata.flow_src_ip Indirizzo IP del client. Può essere derivato esaminando gli endpoint dei pacchetti e la direzione dei pacchetti.
nsx_metadata.flow_dest_ip Indirizzo IP del server.
nsx_metadata.flow_dir La direzione del flusso rispetto alla macchina virtuale di origine. Il valore è 1 per i flussi in entrata verso la macchina virtuale monitorata e 2 per i flussi in uscita verso la macchina virtuale monitorata.
nsx_metadata.rule_id L'ID della regola DFW::IDS a cui corrisponde il pacchetto.
nsx_metadata.profile_id L'ID profilo del contesto utilizzato dalla regola corrispondente.
nsx_metadata.user_id L'ID utente il cui traffico ha generato l'evento.
nsx_metadata.vm_uuid L'identificatore della macchina virtuale il cui traffico ha generato l'evento.
alert.action L'azione eseguita da nsx-idps sul pacchetto (Consentito/Bloccato). Dipende dall'azione della regola configurata.
alert.gid, alert.signature_id, alert.rev L'identificatore della firma e la sua revisione. Una firma può mantenere lo stesso identificatore ed essere aggiornata a una versione più recente aumentando la revisione.
alert.signature Una breve descrizione della minaccia rilevata.
alert.category La categoria della minaccia rilevata. Si tratta in genere di una categorizzazione molto approssimativa/imprecisa. I dettagli della modalità sono disponibili in alert.metadata.
alert.severity La priorità della firma, così come derivata dalla categoria di avviso. Gli avvisi con priorità più alta sono in genere associati a minacce più gravi.
alert.source/alert.target Informazioni sulla direzione dell'attacco che non corrispondono necessariamente alla direzione del flusso. L'origine dell'avviso sarà l'endpoint dell'attacco, mentre la destinazione dell'avviso sarà la vittima dell'attacco.
alert.metadata.detector_id Identificatore interno del rilevamento utilizzato dal componente NDR per associare i metadati e la documentazione delle minacce.
alert.metadata.severity Intervallo da 0 a 100 della gravità della minaccia. Questo valore è una funzione di alert.metadata.threat_class_name.
alert.metadata.confidence Intervallo da 0 a 100 del livello di fiducia nella correttezza del rilevamento. Le firme rilasciate nonostante la possibilità di falsi positivi riportano un basso livello di fiducia (<50).
alert.metadata.exploited Un modificatore per indicare se l'autore dell'attacco segnalato nel rilevamento è probabilmente un host compromesso (ovvero le informazioni dell'endpoint non devono essere considerate un IoC affidabile).
alert.metadata.blacklist_mode Solo per uso interno.
alert.metadata.ids_mode La modalità operativa per la firma. I valori possibili correnti sono REAL (produce rilevamenti in modalità reale nel prodotto NDR) e INFO (produce rilevamenti in modalità informazioni nel prodotto NDR).
alert.metadata.threat_name Nome della minaccia rilevata. Il nome della minaccia viene selezionato nel contesto del prodotto NDR come parte di un'ontologia ben definita e rappresenta la fonte di informazioni più affidabile sulla natura dell'attacco.
alert.metadata.threat_class_name Nome della classe di alto livello dell'attacco a cui appartiene la minaccia. Le classi di minaccia sono categorie di alto livello con valori come "command&control", "drive-by" e "exploit".
alert.metadata.server_side Modificatore per indicare se la minaccia ha lo scopo di influire sui server o sui client. È equivalente alle informazioni espresse dagli attributi alert.source e alert.target.
alert.metadata.flip_endpoints Un modificatore per indicare se la firma deve corrispondere ai pacchetti che passano dal server al client, anziché dal client al server.
alert.metadata.ll_expected_verifier Solo per uso interno.
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient Informazioni sul numero di pacchetti/byte visualizzati in un determinato flusso al momento dell'avviso. Si noti che queste informazioni non esprimono la quantità totale di pacchetti appartenenti al flusso. Queste informazioni esprimono i conteggi parziali rispetto al momento in cui l'avviso è stato generato.
flow.start Data e ora del primo pacchetto appartenente al flusso.