È possibile monitorare gli eventi e visualizzare i dati degli ultimi 14 giorni.

Per visualizzare gli eventi di intrusione, passare a Sicurezza > IDS/IPS. È possibile filtrare gli eventi in base ai seguenti criteri:
  • Criterio di filtro. Selezionare una delle seguenti opzioni:
    Criterio di filtro Descrizione
    Destinazione dell'attacco Destinazione dell'attacco.
    Tipo di attacco Tipo di attacco, come ad esempio trojan o DoS (Denial of Service).
    CVSS Punteggio vulnerabilità comune (filtro in base a un punteggio superiore a una soglia impostata).
    Nome gateway Nome del gateway in cui è stato registrato l'evento.
    Indirizzo IP Indirizzo IP in cui è stato registrato l'evento.
    Prodotto interessato Prodotto vulnerabile (o versione), ad esempio Windows XP o browser Web.
    ID firma ID univoco della regola della firma.
    Nome macchina virtuale Macchina virtuale (basata sulla porta logica) in cui è stato registrato l'evento.
  • Traffico: selezionare una delle seguenti opzioni:
    • Tutto il traffico
    • Solo distribuito
    • Solo gateway
  • Azioni firma: selezionare una delle seguenti opzioni:
    • Mostra tutte le firme
    • Ignorata (impedita)
    • Rifiutata (impedita)
    • Avviso (solo rilevamento)
  • Valutazione gravità: selezionare una delle seguenti opzioni:
    • Critico
    • Alto
    • Medio
    • Basso
    • Sospetta

È possibile attivare o disattivare il pulsante Cronologia per visualizzare o nascondere il grafico cronologico basato sulle valutazioni di gravità. Il grafico presenta gli eventi che si sono verificati in un intervallo di tempo selezionato. È possibile ingrandire la finestra temporale specifica di questo grafico per visualizzare i dettagli delle firme degli eventi correlati che si sono verificati durante la finestra temporale.

Nel grafico cronologico, i punti colorati indicano il tipo univoco di eventi intrusione su cui è possibile fare clic per visualizzare i dettagli. La dimensione del punto indica il numero di volte in cui è stato visualizzato un evento intrusione. Un punto lampeggiante indica che un attacco è in corso. Passare su un punto per visualizzare il nome dell'attacco, il numero di tentativi, la prima occorrenza e altri dettagli.
  • Punti rossi: rappresentano gli eventi di firma di gravità critica.
  • Punti arancioni: rappresentano gli eventi di firma di gravità elevata.
  • Punti gialli: rappresentano gli eventi di firma di gravità media.
  • Punti grigi: rappresentano gli eventi di firma di bassa gravità.
  • Viola: rappresenta gli eventi di firma di gravità sospetta.

Tutti i tentativi di intrusione per una firma particolare vengono raggruppati e inseriti alla prima occorrenza.

Fare clic sulla freccia accanto a un evento per visualizzare i dettagli.
Dettaglio Descrizione
Punteggio dell'impatto

Il punteggio dell'impatto è un valore combinato del punteggio del rischio (la gravità della minaccia) e del punteggio di affidabilità (se la forza del rilevamento è corretta).

Gravità Gravità della firma dell'intrusione.
Ultimo rilevamento Questa è l'ultima volta in cui è stata attivata la firma.
Dettagli Breve descrizione della destinazione della firma.
Utenti interessati Numero di utenti interessati dall'evento.
Carichi di lavoro Numero di carichi di lavoro interessati. Fare clic su per visualizzare i dettagli dei carichi di lavoro interessati.
Dettagli CVE

Riferimento CVE della vulnerabilità di destinazione dall'exploit.

CVSS

Punteggio di vulnerabilità comune della vulnerabilità di destinazione dall'exploit.

Dettagli evento intrusione (occorrenza più recente): fonte Indirizzo IP dell'utente malintenzionato e porta di origine utilizzati.
Dettagli evento intrusione (occorrenza più recente): gateway Dettagli del nodo Edge che contiene il carico di lavoro in cui è stato registrato l'evento.
Dettagli evento intrusione (occorrenza più recente): hypervisor Dettagli del nodo di trasporto che contiene il carico di lavoro in cui è stato registrato l'evento.
Dettagli evento intrusione (occorrenza più recente): destinazione Indirizzo IP della vittima e porta di destinazione utilizzata.
Direzione attacco Client-Server o Server-Client.
Destinazione dell'attacco Destinazione dell'attacco.
Tipo di attacco Tipo di attacco, come ad esempio trojan o DoS (Denial of Service).
Prodotto interessato Illustra il prodotto vulnerabile all'exploit.
Eventi totali Numero totale di tentativi di intrusione per l'evento.
Attività di intrusione Visualizza il numero totale di volte in cui è stata attivata questa firma IDS particolare, l'occorrenza più recente e la prima occorrenza.
Servizio Informazioni sul protocollo associate all'evento.
ID firma

ID univoco della regola della firma IDS.

Revisione firma Numero di revisione della firma IDS.
Tecnica Mitre La tecnica MITRE ATT&CK descrive l'attività rilevata.
Tattica Mitre La tattica MITRE ATT&CK descrive l'attività rilevata.
Regola IDS associata Link selezionabile alla regola IDS configurata che ha generato questo evento.
Per visualizzare la cronologia completa delle intrusioni, fare clic sul link Visualizza cronologia completa eventi. Viene aperta una finestra con i seguenti dettagli:
Dettaglio Descrizione
Ora rilevata Questa è l'ultima volta in cui è stata attivata la firma.
Tipo di traffico

Potrebbe essere Distribuito o Gateway. Distribuito indica il flusso del traffico est-ovest e gateway indica il flusso del traffico nord-sud.

Carichi di lavoro/IP interessati Numero di macchine virtuali o indirizzi IP che hanno raggiunto l'attacco o la vulnerabilità forniti per un determinato flusso di traffico.
Tentativi Numero di tentativi di intrusione effettuati per un attacco o una vulnerabilità durante un determinato flusso di traffico.
Origine Indirizzo IP dell'autore dell'attacco.
Destinazione Indirizzo IP della vittima.
Protocollo Protocollo del traffico dell'intrusione rilevata.
Regola Regola a cui appartiene la firma (tramite il profilo).
Profilo Profilo a cui appartiene la firma.
Azione Una delle seguenti azioni che sono state attivate in base all'evento:
  • Elimina
  • Rifiuta
  • Avviso
È inoltre possibile filtrare la cronologia delle intrusioni in base ai seguenti criteri:
  • Azione
  • IP di destinazione
  • Porta di destinazione
  • Protocollo
  • Regola
  • IP di origine
  • Porta di origine
  • Tipo di traffico

Registrazione

I componenti di NSX scrivono nei file di registro nella directory /var/log. Sulle appliance NSX, i messaggi syslog di NSX sono conformi al protocollo RFC 5424. Sugli host ESXi, i messaggi syslog sono conformi al protocollo RFC 3164.

Negli host ESXi sono disponibili tre file di registro eventi locali relativi a IDS/IPS nella cartella /var/log/nsx-idps:
  • fast.log: contiene la registrazione interna degli eventi del processo nsx-idps, con informazioni limitate e viene utilizzato solo a scopo di debug.
  • nsx-idps-events.log: contiene informazioni dettagliate sugli eventi (tutti gli avvisi/eliminazioni/rifiuti) con i metadati NSX.
Multi-tenancy
A partire da NSX 4.1.1, la multi-tenancy è supportata anche per NSX IDS/IPS.

Il contesto del tenant viene registrato durante la gestione dei messaggi di configurazione. Il contesto viene registrato per i seguenti messaggi:

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg: il messaggio della regola non contiene direttamente il contesto del tenant. Viene recuperato da RuleSectioMsg.
  5. GlobalConfigMsg

Questi registri vengono archiviati in /var/log/nsx-syslog.log. Se il VPC o il progetto non è presente, nei campi del contesto del tenant vengono stampate stringhe vuote. Se l'organizzazione non è presente, non viene stampato nessuno dei tre campi del contesto del tenant.

Per ulteriori informazioni sulla multi-tenancy, vedere Multi-tenancy di NSX.
API di registrazione

Per impostazione predefinita, il syslog IDS/IPS non è abilitato. Per visualizzare le impostazioni correnti, eseguire l'API seguente.

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Risposta di esempio:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

Per abilitare l'invio dei registri IDS/IPS di NSX a un repository di registri centrale, eseguire l'API seguente e impostare la variabile ids_events_to_syslog su true.

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

Richiesta di esempio:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

Poiché questi eventi vengono esportati direttamente dagli host ESXi, assicurarsi che il syslog remoto sia configurato nell'host ESXi. È inoltre necessario assicurarsi che anche NSX Manager e gli host ESXi siano configurati per l'inoltro dei messaggi syslog al repository dei registri centrale.

Per informazioni sulle API per ID/IPS, vedere la Guida alle API di NSX. Per ulteriori informazioni sulla configurazione della registrazione remota, vedere Configurazione della registrazione remota e tutte le informazioni correlate nella sezione Messaggi del registro e codici di errore.