イベントをモニターし、過去 14 日間のデータを表示できます。

侵入イベントを表示するには、 [セキュリティ] > [IDS/IPS] の順に移動します。次の基準でイベントをフィルタリングできます。
  • フィルタ基準。次のオプションから選択します。
    フィルタ基準 説明
    攻撃対象 攻撃の対象。
    攻撃タイプ 攻撃のタイプ。トロイの木馬やサービス拒否 (DoS) など。
    CVSS 共通脆弱性評価。特定のしきい値を超える評価に基づいてフィルタリングします。
    ゲートウェイ名 イベントが登録されたゲートウェイ名。
    IP アドレス イベントが登録された IP アドレス。
    影響を受ける製品 脆弱な製品またはバージョン。たとえば、Windows XP、Web_Browsers など。
    シグネチャ ID シグネチャ ルールの一意の ID。
    仮想マシン名 イベントが登録された仮想マシン(論理ポートに基づく)。
  • トラフィック:次のオプションから選択します。
    • すべてのトラフィック
    • 分散のみ
    • ゲートウェイのみ
  • シグネチャ アクション:次のオプションの中から選択します。
    • すべてのシグネチャを表示
    • ドロップ (防止)
    • 却下 (防止)
    • アラート (検出のみ)
  • 重要度の評価:次のオプションの中から選択します。
    • 重大
    • 不審

[タイムライン] ボタンを切り替えて、重要度の評価に基づくタイムライン グラフを表示または非表示にします。グラフは、選択された期間内に発生したイベントを表します。このグラフで特定の期間をズームインすると、その期間内に発生した関連イベントのシグネチャの詳細を確認できます。

タイムライン グラフで、色の付いたドットは一意のタイプの侵入イベントを表します。クリックすると、詳細が表示されます。ドットのサイズは、侵入イベントの発生回数を表します。点滅しているドットは、攻撃が実行中であることを表します。ドットをポイントすると、攻撃の名前、試行回数、最初の発生などの詳細が表示されます。
  • 赤いドット:重要度が「重大」のシグネチャのイベントを表します。
  • オレンジ色のドット:重要度が「高」のシグネチャのイベントを表します。
  • 黄色のドット:重要度が「中」のシグネチャのイベントを表します。
  • 灰色のドット:重要度が「低」のシグネチャのイベントを表します。
  • 紫色 - 重要度が「不審」のシグネチャ イベントを表します。

特定のシグネチャのすべての侵入試行がグループ化され、最初の出現時に描画されます。

イベントの横にある矢印をクリックすると、詳細が表示されます。
詳細 説明
影響スコア

影響スコアは、リスク スコア(脅威の重要度)と信頼度スコア(検出の確実性)を組み合わせた値になります。

重要度 侵入のシグネチャの重要度。
前回の検出 このシグネチャに前回一致した時間。
詳細 シグネチャの対象の簡単な説明。
影響を受けるユーザー イベントの影響を受けるユーザーの数。
ワークロード 影響を受けるワークロードの数。クリックすると、影響を受けるワークロードの詳細が表示されます。
CVE の詳細

悪用の対象となる脆弱性の CVE 参照。

CVSS

悪用の対象となる脆弱性の共通脆弱性スコア。

侵入イベントの詳細(最新のイベント) - 送信元 攻撃者の IP アドレスと使用された送信元ポート。
侵入イベントの詳細(最新のイベント) - ゲートウェイ イベントが登録されたワークロードを含む Edge ノードの詳細。
侵入イベントの詳細(最新のイベント) - ハイパーバイザー イベントが登録されたワークロードを含むトランスポート ノードの詳細。
侵入イベントの詳細(最新のイベント) - ターゲット 被害者の IP アドレスと使用された宛先ポート。
攻撃の方向 クライアントからサーバまたはサーバからクライアント。
攻撃対象 攻撃の対象。
攻撃タイプ 攻撃のタイプ。トロイの木馬やサービス拒否 (DoS) など。
影響を受ける製品 攻撃の影響を受ける製品。
イベントの合計数 イベントの侵入試行の合計数。
侵入アクティビティ この IDS シグネチャがトリガーされた合計回数、最後の発生、最初の発生が表示されます。
サービス イベントに関係しているプロトコルの情報
シグネチャ ID

IDS シグネチャの一意の ID。

シグネチャのリビジョン IDS シグネチャのリビジョン番号。
MITRE の方法 検出されたアクティビティを説明する MITRE ATT&CK 技術。
MITRE の戦術 検出されたアクティビティを説明する MITRE ATT&CK 戦術。
関連する IDS ルール このイベントに関連する構成済みの IDS ルールへのリンク。
完全な侵入履歴を表示するには、 [イベント履歴全体を表示] リンクをクリックします。ウィンドウが開き、次の情報が表示されます。
詳細 説明
検出時間 このシグネチャに前回一致した時間。
トラフィック タイプ

これは、分散またはゲートウェイのいずれかです。「分散」は East-West トラフィック フローを示し、「ゲートウェイ」は North-South トラフィック フローを示します。

影響を受けるワークロード/IP 特定のトラフィック フローに対して特定の攻撃または脆弱性が存在する仮想マシンまたは IP アドレスの数。
試行 特定のトラフィック フロー中に、攻撃または脆弱性の悪用で試行された侵入の回数。
送信元 攻撃者の IP アドレス。
宛先 被害者の IP アドレス。
プロトコル 侵入が検出されたトラフィック プロトコル。
ルール シグネチャのルール(プロファイルを使用)。
プロファイル シグネチャのプロファイル。
アクション イベントに対してトリガされた次のアクションのいずれか:
  • ドロップ
  • 却下
  • アラート
次の基準で侵入履歴をフィルタリングすることもできます。
  • アクション
  • 宛先 IP
  • 宛先ポート
  • プロトコル
  • ルール
  • 送信元 IP
  • 送信元ポート
  • トラフィック タイプ

ログの記録

NSX のコンポーネントは、/var/log ディレクトリのログファイルに書き込みます。NSX アプライアンスの NSX Syslog メッセージは RFC 5424 に準拠しています。ESXi ホストの Syslog メッセージは RFC 3164 に準拠しています。

ESXi ホストの /var/log/nsx-idps フォルダには、次の 2 つの IDS/IPS 関連のローカル イベント ログ ファイルがあります。
  • fast.log。nsx-idps プロセス イベントの内部ログが記録されます。記録される情報は限定されています。このログは、デバッグ目的でのみ使用します。
  • nsx-idps-events.log。NSX メタデータを含むイベント(すべてのアラート/ドロップ/拒否)に関する詳細情報が記録されます。
マルチ テナント
NSX 4.1.1 以降では、 NSX IDS/IPS でマルチテナントもサポートされます。

構成メッセージの処理中に、テナント コンテキストがログに記録されます。次のメッセージのコンテキストがログに記録されます。

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg。ルール メッセージにテナント コンテキストが直接含まれていません。RuleSectioMsg から取得されます。
  5. GlobalConfigMsg

これらのログは、/var/log/nsx-syslog.log に保存されます。VPC またはプロジェクトが見つからない場合は、テナント コンテキスト フィールドに空の文字列が出力されます。組織が見つからない場合は、3 つのテナント コンテキスト フィールドのいずれも出力されません。

マルチテナントの詳細については、「 NSX マルチ テナント」を参照してください。
ログ記録 API

デフォルトでは、IDS/IPS Syslog は有効になっていません。次の API を使用して、現在の設定をクエリします。

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

応答の例:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

NSX IDS/IPS ログを中央のログ リポジトリに送信できるようにするには、次の API を実行し、ids_events_to_syslog 変数を true に設定します。

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

要求の例:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

これらのイベントは ESXi ホストから直接エクスポートされるため、ESXi ホストでリモート Syslog が構成されていることを確認します。また、Syslog メッセージを中央のログ リポジトリに転送するように、NSX マネージャと ESXi ホストも設定されている必要があります。

ID/IPS API の詳細については、『NSX API ガイド』を参照してください。リモート ログの構成の詳細については、リモート ログの構成およびログ メッセージとエラー コードセクションのすべての関連情報を参照してください。