NSX-T IDS/IPS のログが有効になっている場合は、ログ ファイルを参照して問題のトラブルシューティングを行うことができます。

以下に、NSX-T IDS/IPS のログ ファイルの例を示します。このファイルは /var/log/nsx-idps/nsx-idps-events.log にあります。
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
フィールド 説明
タイムスタンプ アラートがトリガされたパケットのタイムスタンプ。
flow_id nsx-idps によって追跡される各フローの一意の識別子。
event_type IDPS エンジンによって生成されるイベントのタイプ。アラートの場合、実行されたアクションに関係なく、イベントタイプは常に「アラート」になります。
src_ip アラートがトリガされたパケットの送信元 IP。アラートの特性に応じて、クライアントのアドレスまたはサーバのアドレスになります。クライアントを特定するには、direction フィールドを参照します。
src_port アラートがトリガされたパケットの送信元ポート。
dest_ip アラートがトリガされたパケットの宛先 IP。
dest_port アラートがトリガされたパケットの宛先ポート。
proto アラートがトリガされたパケットの IP プロトコル。
direction フローの方向と比較したパケットの方向。クライアントからサーバに送信されるパケットの場合、この値は to_server になります。サーバからクライアントに送信されるパケットの場合は to_client になります。

NSX メタデータのテーブルに含まれていないフィールドは、内部でのみ使用されます。

NSX メタデータ 説明
metadata.flowbits および metadata.flowints このフィールドは、内部フロー状態のダンプの一部になります。変数は、特定のフローで動作するさまざまなシグネチャまたは Lua スクリプトによって動的に設定されます。フィールドの意味と性質は基本的に内部的なものであり、IDS バンドルの更新によって変わる可能性があります。
nsx_metadata.flow_src_ip クライアントの IP アドレス。パケットのエンドポイントとパケットの方向を確認することで取得される可能性があります。
nsx_metadata.flow_dest_ip サーバの IP アドレス。
nsx_metadata.flow_dir 送信元の仮想マシンに対するフローの方向。モニター対象の仮想マシンへの受信フローの場合、値は 1 になります。モニター対象の仮想マシンへの送信フローの場合は 2 です。
nsx_metadata.rule_id パケットが一致した DFW::IDS ルール ID。
nsx_metadata.profile_id 一致したルールで使用されたコンテキスト プロファイル ID。
nsx_metadata.user_id イベントを生成したトラフィックのユーザー ID。
nsx_metadata.vm_uuid イベントを生成したトラフィックの仮想マシンの ID。
alert.action パケットで nsx-idps によって実行されるアクション(許可/ブロック)。構成されたルール アクションによって異なります。
alert.gid、alert.signature_id、alert.rev シグネチャの識別子とそのリビジョン。シグネチャは同じ識別子を維持でき、またリビジョンを増やすことで新しいバージョンに更新できます。
alert.signature 検出された脅威に関する簡単な説明。
alert.category 検出された脅威のカテゴリ。通常、これは非常に大まかで、不正確な分類です。モードの詳細は、alert.metadata で確認できます。
alert.severity アラート カテゴリから派生したシグネチャの優先順位。通常、優先度の高いアラートはより深刻な脅威に関連付けられます。
alert.source/alert.target 攻撃の方向に関する情報。フローの方向とは必ずしも一致しません。アラートの送信元は、攻撃を実行するエンドポイントであり、アラートのターゲットは攻撃対象になります。
alert.metadata.detector_id 脅威メタデータとドキュメントを関連付けるために、NDR コンポーネントで使用される検出の内部識別子。
alert.metadata.severity 脅威の重要度(0 ~ 100 の範囲)。この値は、alert.metadata.threat_class_name の関数です。
alert.metadata.confidence 検出の正確さを示す信頼度の範囲(0 ~ 100)。誤検知の可能性があるにもかかわらずリリースされたシグネチャは、信頼度が低くなります(50 未満)。
alert.metadata.exploited 検出で報告された攻撃者が侵害されたホストである可能性が高いかどうかを表す修飾子(つまり、エンドポイント情報は信頼できる IoC とは見なされません)。
alert.metadata.blacklist_mode 内部のみ。
alert.metadata.ids_mode シグネチャの操作モード。現在可能な値は、REAL(NDR 製品でリアルモード検出を生成)、INFO(NDR 製品で情報モード検出を生成)です。
alert.metadata.threat_name 検出された脅威の名前。脅威の名前は、明確に定義されたオントロジの一部として NDR 製品のコンテキストでキュレートされます。これは、攻撃の性質に関する最も信頼性の高い情報ソースです。
alert.metadata.threat_class_name 脅威が関連する攻撃の高レベル クラスの名前。脅威クラスは、command&contro、drive-by、exploit などの値を持つ高レベルのカテゴリです。
alert.metadata.server_side 脅威がサーバとクライアントのどちらに影響するかを表す修飾子。これは、alert.source および alert.target 属性で表される情報に相当します。
alert.metadata.flip_endpoints クライアントからサーバではなく、サーバからクライアントに送信されるパケットでシグネチャが一致するかどうかを表す修飾子。
alert.metadata.ll_expected_verifier 内部のみ。
flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient アラート発生時に特定のフローで確認されたパケット/バイト数に関する情報。この情報は、フローに属するパケットの合計量を表すものではないことに注意してください。この情報は、アラート生成時点の部分的なカウントを表します。
flow.start フローの最初のパケットのタイムスタンプ。