NSX-T IDS/IPS에 대해 로깅을 사용하도록 설정한 경우 로그 파일을 확인하여 문제를 해결할 수 있습니다.
다음은 /var/log/nsx-idps/nsx-idps-events.log에 있는 NSX-T IDS/IPS에 대한 샘플 로그 파일입니다.
{"timestamp":"2021-08-10T01:01:15.431231+0000","flow_id":1906423505866276,"pcap_cnt":40,"event_type":"alert","src_ip":"192.
168.100.166","src_port":49320,"dest_ip":"185.244.30.17","dest_port":1965,"proto":"TCP","direction":"to_server","metadata":
{"flowbits":["LL.verifier_tcp_successful","LL.verifier_tcp_failed","LL.verifier_tcp_blocked"],"flowints":
{"intraflow_beacon_num_strides":0,"intraflow_beacon_last_ts":1628557275,"intraflow_beacon_packets_seen":1,"intraflow_beacon_grp_1"
:1,"intraflow_beacon_grp_1_cnt":0,"intraflow_beacon_grp_2":1,"intraflow_beacon_grp_2_cnt":0,"intraflow_beacon_grp_3":1,
"intraflow_beacon_grp_3_cnt":0,"intraflow_beacon_prior_seq":1762155507,"intraflow_beacon_prior_ack":1700774517,
"intraflow_beacon_num_runts":0,"intraflow_beacon_sni_seen":0}},"nsx_metadata":{"flow_src_ip":"192.168.100.166",
"flow_dest_ip":"185.244.30.17","flow_dir":2,"rule_id":1001,"profile_id":"f7169d04-81bf-4c73-9466-b9daec6220de",
"user_id":0,"vm_uuid":"b1396a3e-3bf9-4fd7-839d-0709c86707b0"},"alert":{"action":"allowed","gid":1,"signature_id":1096797,"rev":14556,
"signature":"LASTLINE Command&Control: (RAT) Remcos RAT","category":"A Network Trojan was Detected","severity":1,"source":{"ip":"185.244.30.17","port":1965},"target":{"ip":"192.168.100.166","port":49320},
"metadata":{"detector_id":["96797"],"severity":["100"],"confidence":["80"],"exploited":["None"],"blacklist_mode":["REAL"],"ids_mode":["REAL"],"threat_name":["Remcos RAT"],
"threat_class_name":["command&control"],"server_side":["False"],"flip_endpoints":["False"],"ll_expected_verifier":["default"]}},
"flow":{"pkts_toserver":3,"pkts_toclient":1,"bytes_toserver":808,"bytes_toclient":66,"start":"2021-08-10T01:01:15.183844+0000"}}
| 필드 | 설명 |
|---|---|
| 타임 스탬프 | 경고가 트리거된 패킷의 타임 스탬프입니다. |
| flow_id | nsx-idps로 추적되는 각 흐름에 대한 고유 식별자입니다. |
| event_type | IDPS 엔진에서 생성된 이벤트의 유형입니다. 경고의 경우 이벤트 유형은 수행하는 작업과 무관하게 항상 "경고"입니다. |
| src_ip | 경고가 트리거된 패킷의 소스 IP입니다. 경고 특성에 따라 클라이언트의 주소 또는 서버 주소일 수 있습니다. 클라이언트를 확인하려면 "방향" 필드를 참조하십시오. |
| src_port | 경고가 트리거된 패킷의 소스 포트입니다. |
| dest_ip | 경고가 트리거된 패킷의 대상 IP입니다. |
| dest_port | 경고가 트리거된 패킷의 대상 포트입니다. |
| proto | 경고가 트리거된 패킷의 IP 프로토콜입니다. |
| direction | 흐름 방향과 비교한 패킷의 방향입니다. 값은 클라이언트에서 서버로 흐르는 패킷의 경우 "to_server"이고, 서버에서 클라이언트로 흐르는 패킷의 경우 "to_client"입니다. |
NSX 메타데이터 테이블에 포함되지 않은 필드는 내부용으로만 사용됩니다.
| NSX 메타데이터 | 설명 |
|---|---|
| metadata.flowbits 및 metadata.flowints | 이 필드는 내부 흐름 상태의 덤프를 구성합니다. 변수는 특정 흐름에서 작동하는 다양한 서명 또는 Lua 스크립트에 의해 동적으로 설정됩니다. 필드의 의미 체계와 특성은 기본적으로 내부적인 것이며, IDS 번들 업데이트마다 다를 수 있습니다. |
| nsx_metadata.flow_src_ip | 클라이언트의 IP 주소입니다. 패킷 끝점과 패킷 방향을 확인하여 파생될 수 있습니다. |
| nsx_metadata.flow_dest_ip | 서버의 IP 주소입니다. |
| nsx_metadata.flow_dir | 발신 가상 시스템에 대한 흐름의 방향입니다. 모니터링되는 가상 시스템에 인바운드인 흐름의 경우 값이 1이고, 모니터링되는 가상 시스템에 아웃바운드인 흐름의 경우 2입니다. |
| nsx_metadata.rule_id | 패킷이 일치하는 DFW::IDS 규칙 ID입니다. |
| nsx_metadata.profile_id | 일치하는 규칙에 사용된 컨텍스트 프로파일 ID입니다. |
| nsx_metadata.user_id | 트래픽이 이벤트를 생성한 사용자 ID입니다. |
| nsx_metadata.vm_uuid | 트래픽이 이벤트를 생성한 가상 시스템의 식별자입니다. |
| alert.action | 패킷에서 nsx-idps에 의해 수행된 작업입니다(허용/차단). 구성된 규칙 작업에 따라 다릅니다. |
| alert.gid, alert.signature_id, alert.rev | 서명의 식별자 및 해당 개정입니다. 서명은 동일한 식별자를 유지할 수 있으며, 개정을 늘려서 최신 버전으로 업데이트할 수 있습니다. |
| alert.signature | 감지된 위협에 대한 짧은 설명입니다. |
| alert.category | 감지된 위협의 범주입니다. 이는 일반적으로 매우 거칠고 부정확한 분류입니다. 모드 세부 정보는 alert.metadata에서 찾을 수 있습니다. |
| alert.severity | 경고 범주에서 파생된 서명의 우선 순위입니다. 우선 순위가 높은 경고는 일반적으로 더 심각한 위협과 연관됩니다. |
| alert.source/alert.target | 공격 방향에 대한 정보로, 반드시 흐름 방향과 일치하는 것은 아닙니다. 경고의 소스는 공격 끝점이 되고, 경고의 대상은 공격의 대상이 됩니다. |
| alert.metadata.detector_id | 위협 메타데이터 및 설명서를 연결하기 위해 NDR 구성 요소가 사용하는 감지의 내부 식별자입니다. |
| alert.metadata.severity | 위협의 심각도 범위(0-100)입니다. 이 값은 alert.metadata.threat_class_name 함수입니다. |
| alert.metadata.confidence | 감지의 정확성에 대한 신뢰도의 범위(0-100)입니다. 가양성이 발생할 가능성이 있음에도 불구하고 릴리스된 서명은 낮은 신뢰도(<50)를 보고합니다. |
| alert.metadata.exploited | 감지에 보고된 공격자가 손상된 호스트일 가능성이 있는지 여부를 표현하는 수정자입니다(즉, 끝점 정보가 신뢰할 수 있는 IoC로 간주되지 않아야 함). |
| alert.metadata.blacklist_mode | 내부 전용입니다. |
| alert.metadata.ids_mode | 서명에 대한 작업 모드입니다. 현재 가능한 값은 REAL(NDR 제품에서 실제 모드 감지 생성) 및 INFO(NDR 제품에서 정보 모드 감지 생성)입니다. |
| alert.metadata.threat_name | 감지된 위협의 이름입니다. 위협 이름은 잘 정의된 온톨로지의 일부로 NDR 제품의 컨텍스트에서 큐레이션되며, 공격의 특성에 대한 가장 신뢰할 수 있는 정보 소스입니다. |
| alert.metadata.threat_class_name | 위협과 관련된 공격의 상위 수준 클래스의 이름입니다. 위협 클래스는 "command&control", "drive-by" 및 "exploit"와 같은 값을 가진 대략적인 범주입니다. |
| alert.metadata.server_side | 위협이 서버 또는 클라이언트에 영향을 미치는지 여부를 표현하는 수정자입니다. alert.source 및 alert.target 특성으로 표현되는 정보와 동일합니다. |
| alert.metadata.flip_endpoints | 서명이 클라이언트에서 서버로가 아니라 서버에서 클라이언트로 흐르는 패킷에서 일치할 것으로 예상되는지 여부를 나타내는 수정자입니다. |
| alert.metadata.ll_expected_verifier | 내부 전용입니다. |
| flow.pkts_toserver/flow.pkts_toclient/flow.bytes_toserver/flow.bytes_toclient | 경고 시점에 지정된 흐름에 표시된 패킷/바이트 수에 대한 정보입니다. 이 정보는 흐름에 속하는 총 패킷 양을 나타내지 않습니다. 이 정보는 경고가 생성된 시점의 일부 수를 나타냅니다. |
| flow.start | 흐름의 첫 번째 패킷에 속하는 타임 스탬프입니다. |
