NSX-T IDS/IPS のログが有効になっている場合は、ログ ファイルを参照して問題のトラブルシューティングを行うことができます。
以下に、NSX-T IDS/IPS のログ ファイルの例を示します。このファイルは /var/log/nsx-idps/nsx-idps-events.log にあります。
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| フィールド | 説明 |
|---|---|
| タイムスタンプ | アラートがトリガされたパケットのタイムスタンプ。 |
| flow_id | nsx-idps によって追跡される各フローの一意の識別子。 |
| event_type | IDPS エンジンによって生成されるイベントのタイプ。アラートの場合、実行されたアクションに関係なく、イベントタイプは常に「アラート」になります。 |
| src_ip | アラートがトリガされたパケットの送信元 IP。アラートの特性に応じて、クライアントのアドレスまたはサーバのアドレスになります。クライアントを特定するには、direction フィールドを参照します。 |
| src_port | アラートがトリガされたパケットの送信元ポート。 |
| dest_ip | アラートがトリガされたパケットの宛先 IP。 |
| dest_port | アラートがトリガされたパケットの宛先ポート。 |
| proto | アラートがトリガされたパケットの IP プロトコル。 |
| direction | フローの方向と比較したパケットの方向。クライアントからサーバに送信されるパケットの場合、この値は to_server になります。サーバからクライアントに送信されるパケットの場合は to_client になります。 |
NSX メタデータのテーブルに含まれていないフィールドは、内部でのみ使用されます。
| NSX メタデータ | 説明 |
|---|---|
| metadata.flowbits および metadata.flowints | このフィールドは、内部フロー状態のダンプの一部になります。変数は、特定のフローで動作するさまざまなシグネチャまたは Lua スクリプトによって動的に設定されます。フィールドの意味と性質は基本的に内部的なものであり、IDS バンドルの更新によって変わる可能性があります。 |
| nsx_metadata.flow_src_ip | クライアントの IP アドレス。パケットのエンドポイントとパケットの方向を確認することで取得される可能性があります。 |
| nsx_metadata.flow_dest_ip | サーバの IP アドレス。 |
| nsx_metadata.flow_dir | 送信元の仮想マシンに対するフローの方向。モニター対象の仮想マシンへの受信フローの場合、値は 1 になります。モニター対象の仮想マシンへの送信フローの場合は 2 です。 |
| nsx_metadata.rule_id | パケットが一致した DFW::IDS ルール ID。 |
| nsx_metadata.profile_id | 一致したルールで使用されたコンテキスト プロファイル ID。 |
| nsx_metadata.user_id | イベントを生成したトラフィックのユーザー ID。 |
| nsx_metadata.vm_uuid | イベントを生成したトラフィックの仮想マシンの ID。 |
| alert.action | パケットで nsx-idps によって実行されるアクション(許可/ブロック)。構成されたルール アクションによって異なります。 |
| alert.gid、alert.signature_id、alert.rev | シグネチャの識別子とそのリビジョン。シグネチャは同じ識別子を維持でき、またリビジョンを増やすことで新しいバージョンに更新できます。 |
| alert.signature | 検出された脅威に関する簡単な説明。 |
| alert.category | 検出された脅威のカテゴリ。通常、これは非常に大まかで、不正確な分類です。モードの詳細は、alert.metadata で確認できます。 |
| alert.severity | アラート カテゴリから派生したシグネチャの優先順位。通常、優先度の高いアラートはより深刻な脅威に関連付けられます。 |
| alert.source/alert.target | 攻撃の方向に関する情報。フローの方向とは必ずしも一致しません。アラートの送信元は、攻撃を実行するエンドポイントであり、アラートのターゲットは攻撃対象になります。 |
| alert.metadata.detector_id | 脅威メタデータとドキュメントを関連付けるために、NDR コンポーネントで使用される検出の内部識別子。 |
| alert.metadata.severity | 脅威の重要度(0 ~ 100 の範囲)。この値は、alert.metadata.threat_class_name の関数です。 |
| alert.metadata.confidence | 検出の正確さを示す信頼度の範囲(0 ~ 100)。誤検知の可能性があるにもかかわらずリリースされたシグネチャは、信頼度が低くなります(50 未満)。 |
| alert.metadata.exploited | 検出で報告された攻撃者が侵害されたホストである可能性が高いかどうかを表す修飾子(つまり、エンドポイント情報は信頼できる IoC とは見なされません)。 |
| alert.metadata.blacklist_mode | 内部のみ。 |
| alert.metadata.ids_mode | シグネチャの操作モード。現在可能な値は、REAL(NDR 製品でリアルモード検出を生成)、INFO(NDR 製品で情報モード検出を生成)です。 |
| alert.metadata.threat_name | 検出された脅威の名前。脅威の名前は、明確に定義されたオントロジの一部として NDR 製品のコンテキストでキュレートされます。これは、攻撃の性質に関する最も信頼性の高い情報ソースです。 |
| alert.metadata.threat_class_name | 脅威が関連する攻撃の高レベル クラスの名前。脅威クラスは、command&contro、drive-by、exploit などの値を持つ高レベルのカテゴリです。 |
| alert.metadata.server_side | 脅威がサーバとクライアントのどちらに影響するかを表す修飾子。これは、alert.source および alert.target 属性で表される情報に相当します。 |
| alert.metadata.flip_endpoints | クライアントからサーバではなく、サーバからクライアントに送信されるパケットでシグネチャが一致するかどうかを表す修飾子。 |
| alert.metadata.ll_expected_verifier | 内部のみ。 |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | アラート発生時に特定のフローで確認されたパケット/バイト数に関する情報。この情報は、フローに属するパケットの合計量を表すものではないことに注意してください。この情報は、アラート生成時点の部分的なカウントを表します。 |
| flow.start | フローの最初のパケットのタイムスタンプ。 |
