NSX-T Data Center 3.2 以降では、セキュリティ ダッシュボードの設計が新しくなり、ネットワークとワークロードを保護するための機能を構成できます。[セキュリティの概要] ダッシュボードには、さまざまな脅威の検出と対応の機能、全体的なセキュリティ構成の視覚的なサマリ、NSX-T Data Center 環境内のさまざまなオブジェクトのキャパシティが表示されます。
このダッシュボードに表示される情報は、データセンターで展開され有効化されたセキュリティ機能によって異なります。
脅威の検出と応答
このタブには、データセンター内のさまざまなセキュリティ問題の現在の状態に関する主要な情報が表示されます。これらの機能は、セキュリティ チームがネットワークで何が発生しているか、どこに焦点を当てるのかを理解するのに役立ちます。
- キャンペーン
-
キャンペーンは、特定の MITRE 戦術と技術を使用する、関連する脅威イベントのセットです。脅威イベントを MITRE ATT&CK ステージにマッピングして、攻撃事例を定義できます。キャンペーンは、単一グループの短期間の検出イベントから、長期にわたる複雑なマルチプリング攻撃まで、広範囲に及ぶ可能性があります。キャンペーンを使用すると、脅威イベントのタイムライン全体を表示できるため、迅速な対応とトリアージが可能になります。
VMware NSX® Network Detection and Response™ 機能が有効になっている場合、このウィジェットには次のキャンペーン統計が表示されます。- 期間中に NSX Network Detection and Response が識別し、ネットワークで現在アクティブになっているキャンペーンの合計数。
- 選択した期間内に進行中で影響の大きいキャンペーンの合計数。
- 選択した期間内に発生し、影響の大きいキャンペーンの合計数。
- 選択した期間内に特定されたキャンペーンの影響を受ける仮想マシンの合計数。
NSX Network Detection and Response ユーザー インターフェイスの [キャンペーン] ページから詳細を表示するには、[キャンペーンに移動] をクリックします。NSX Network Detection and Response 機能の詳細については、NSX Network Detection and Responseを参照してください。
- IDS/IPS
-
- IDS/IPS サマリ画面には、次の情報が表示されます。
-
エントリ 説明 侵入イベント 侵入イベントの合計数がクリック可能なリンクとして表示され、アラートまたは防止が発生した侵入の数が表示されます。 一意の侵入シグネチャ 各重要度カテゴリで検出された侵入数を示すグラフが表示されます。 上位の攻撃タイプ別のイベント 攻撃タイプに基づいてグラフが表示されます。 - 分散 IDS/IPS のサマリ
エントリ 説明 侵入の重要度別の傾向 時間ごとの侵入イベント数と重要度の傾向がグラフで表示されます。 ディストリビューション 48 時間から 14 日間の間に発生した攻撃タイプ、攻撃対象、または重要度の分布を示す円グラフが表示されます。
上位の仮想マシン 侵入が試行された上位の仮想マシンが表示されます。 - ゲートウェイ IDS/IPS のサマリ
エントリ 説明 侵入の重要度別の傾向 時間ごとの侵入イベント数と重要度の傾向がグラフで表示されます。 ディストリビューション 48 時間から 14 日間の間に発生した攻撃タイプ、攻撃対象、または重要度の分布を示す円グラフが表示されます。
上位の IP 侵入が試行された上位 IP が表示されます。
- FQDN 分析
-
FQDN 分析サマリ画面には次の情報が表示されます。
- 検査された URL の合計数と重要度レベル。
- 検査された FQDN の数が最も多い上位の URL カテゴリ。
- 重要度が最も高い URL(日付と時刻を含む)
- URL フィルタリング
-
特定のゲートウェイを選択するか、すべてのゲートウェイを選択して次の情報を表示します。
- 重要度評価別の URL の分布。
- 許可された URL の重要度レベル。検査された URL 数が最も多い上位 5 つのカテゴリが表示されます
- ブロックされた URL の数が最も多い上位 5 つの URL カテゴリがハイライト表示されます。
- 一意のサイト分布には、許可された URL の数が最も多い上位 5 つのサイトが表示されます。ブロックされた URL の数が最も多い上位 5 つのサイトがハイライト表示されます。
- マルウェア防止
-
選択した期間に発生した次のファイル イベントの統計情報がグラフィック形式で表示されます。
- 検査されたファイル イベント、不正なファイル イベント、不審なファイル イベント、ブロックされたファイルの合計数。
- 脅威スコアごとのファイル検査の数。
- データセンター内で最近検査されたファイル上位 5 個(タイムスタンプ順に表示されます)。
- データセンターで検出された悪質なファイルの上位 5 個。
- データセンター内の不正なファイル イベント、不審なファイル イベント、抑止されたファイル イベントの傾向。
- ファイルが属するマルウェア ファミリ別のファイル検査の分布。
- 実行された分析のタイプ(ローカル ファイル分析、クラウド ファイル分析)別のファイル検査の内訳。
- 不審なネットワーク アクティビティ
-
VMware NSX® Intelligence™ が有効になっている場合、このタブには、選択期間内に検出された不審なイベントまたはアノマリ イベントに関する次の統計情報がグラフィック形式で表示されます。
- 選択期間内に検出されたアノマリの合計数が円内に表示されます。この円は色付きセグメントで構成され、検出されたアノマリ イベントの数と、イベントの検出に使用される MITRE 攻撃者の戦術および技術を表します。
- 検出に使用された MITRE 戦術と技術に分類された不審なイベントのリストと、選択期間内に発生した回数。
- 検出されたアノマリの数を重要度別に分類した棒グラフ。
[すべて表示] をクリックして、[不審なトラフィック] ページを使用して検出された不審なイベントの詳細を表示します。NSX Suspicious Traffic 機能の詳細については、https://docs.vmware.com/jp/VMware-NSX-Intelligence/index.html でバージョン 3.2 以降の『VMware NSX Intelligence の使用と管理』を参照してください。
- TLS 検査
-
TLS 検査と復号は、エンタープライズ Web トラフィックに存在する脅威の侵入を対象としたセキュアな方法を提供します。この機能では、TLS プロキシを使用して TLS 接続を介して暗号化されたトラフィックを透過的にインターセプトします。レイヤー 7 ファイアウォール、IDS、URL フィルタリングなどの NSX セキュリティ サービスを使用してコンテンツを検査し、セキュリティ ポリシーを適用できます。ウィザードを使用してポリシーとルールを設定できます。また、ワークフローに従って手動で設定することもできます。NSX-T Data Center 3.2.1 以降では、この機能は本番環境で利用でき、完全にサポートされています。NSX-T Data Center 3.2.0 では、この機能は技術プレビュー モードでのみ使用できます。詳細については、TLS 検査と『NSX-T Data Center リリース ノート』を参照してください。
[セキュリティの概要] ダッシュボードには、TLS 接続と有効にしたときの次の証明書の詳細が表示されます。- ドーナツ グラフには、次のような TLS 接続サマリの詳細が表示されます。
- 障害が原因でバイパス
- 復号化済み
- 接続エラー
- ルールが原因でバイパス
- 接続とルール
- 合計接続数
- 開いている接続数
- CPS
- ルール ヒット
- ドーナツ グラフには、次のような証明書キャッシュの詳細が表示されます。
- キャッシュ ヒット数
- キャッシュされた証明書
- キャッシュミス数
- トラフィック
- クライアントからサーバ、サーバからクライアントへのスループットの詳細
- クライアントからサーバ、サーバからクライアントへの合計トラフィックの詳細
- ドーナツ グラフには、次のような TLS 接続サマリの詳細が表示されます。
構成
- ファイアウォール ポリシー
- エンドポイント ポリシー
- IDS/IPS ポリシー
- マルウェア防止ポリシー
- ネットワーク イントロスペクション ポリシー
- TLS 検査ポリシー
このページには、次のセキュリティ設定の詳細ビューも表示されます。
- ゲートウェイ ファイアウォール ウィジェット
-
ゲートウェイ ファイアウォールのセキュリティ設定がハイライト表示されます。リンクをクリックして、次のセキュリティ機能が有効になっているゲートウェイを表示します。
- IDS/IPS
- マルウェア防止
- TLS 検査
これらのセキュリティ機能を備えたゲートウェイを表示するには、上記のセキュリティ機能の少なくとも 1 つをデータセンターに展開する必要があります。
- 分散ファイアウォール ウィジェット
- エンドポイント保護ウィジェット
-
仮想マシンのエンドポイント保護の構成サマリが表示されます。サービス プロファイル別の仮想マシンの分布、問題があるコンポーネント、ファイル イントロスペクションを実行する構成済みの仮想マシンを表示できます。
- マルウェア防止ウィジェット
-
このユーザー インターフェイスウィジェットは、NSX Distributed Malware Prevention サービスのいずれかのコンポーネントが停止しているか、動作していない場合に問題を表示します。
次はその例です。- 横棒グラフは、NSX マルウェア防止サービス仮想マシン (SVM) の Security Hub が停止している場合に問題を表示します。バーをポイントすると、次の詳細が表示されます。
- 影響を受ける NSX マルウェア防止 SVM の数。
- Security Hub が停止したためにマルウェアのセキュリティ保護が失われたホスト上のワークロード仮想マシンの数。
- ドーナツ グラフには、次の詳細が表示されます。
- NSX ファイル イントロスペクション ドライバが実行されているワークロード仮想マシンの数。
- NSX ファイル イントロスペクション ドライバが実行されていないワークロード仮想マシンの数。
この両方のメトリックでは、NSX Distributed Malware Prevention で有効になっているホスト クラスタ上のワークロード仮想マシンのみが考慮されます。
- 横棒グラフは、NSX マルウェア防止サービス仮想マシン (SVM) の Security Hub が停止している場合に問題を表示します。バーをポイントすると、次の詳細が表示されます。
キャパシティ
- イントロスペクション ルール N-S Tier-1
- Active Directory ドメイン (Identity Firewall)
- サービス チェーン
- イントロスペクション ポリシー E-W
- 保存済みのファイア ウォールルールの構成
- イントロスペクション ポリシー N-S Tier-0
- イントロスペクション サービス パス
- システム全体のファイアウォール ルール
- イントロスペクション ルール N-S Tier-0
- イントロスペクション ルール E-W
- システム全体のエンドポイント保護が有効になっている仮想マシン
- イントロスペクション ポリシー N-S Tier-1
- 分散ファイアウォール セクション
- システム全体のファイアウォール セクション
- Active Directory ドメイン (Identity Firewall)
- システム全体のエンドポイント保護が有効になっているホスト
- 分散ファイアウォール ルール