이벤트를 모니터링하고 지난 14일간의 데이터를 볼 수 있습니다.

침입 이벤트를 보려면 보안 > IDS/IPS로 이동합니다. 다음 조건을 기준으로 이벤트를 필터링할 수 있습니다.
  • 필터 조건. 다음 옵션 중에서 선택합니다.
    필터링 기준 설명
    공격 대상 공격의 대상입니다.
    공격 유형 트로이 목마 또는 DoS(서비스 거부)와 같은 공격의 유형입니다.
    CVSS 일반 취약점 점수(설정된 임계값보다 높은 점수를 기준으로 필터링)입니다.
    게이트웨이 이름 이벤트가 등록된 게이트웨이 이름입니다.
    IP 주소 이벤트가 등록된 IP 주소입니다.
    영향을 받는 제품 취약한 제품(또는 버전), 즉 Windows XP 또는 Web_Browsers 등입니다.
    서명 ID 서명 규칙의 고유 ID입니다.
    VM 이름 이벤트가 등록된 VM(논리적 포트 기준)입니다.
  • 트래픽: 다음 옵션 중에서 선택합니다.
    • 모든 트래픽
    • 분산 전용
    • 게이트웨이 전용
  • 서명 작업: 다음 옵션 중에 선택합니다.
    • 모든 서명 표시
    • 삭제됨(방지됨)
    • 거부됨(방지됨)
    • 경고(감지만)
  • 심각도 등급: 다음 옵션 중에 선택합니다.
    • 위험
    • 높음
    • 중형
    • 낮음
    • 의심스러움

타임라인 버튼을 전환하여 심각도 등급을 기준으로 하는 타임라인 그래프를 보거나 숨길 수 있습니다. 그래프는 선택한 시간 범위 동안 발생한 이벤트를 나타냅니다. 이 그래프의 특정 기간을 확대하여 해당 기간 동안 발생한 관련 이벤트의 서명 세부 정보를 볼 수 있습니다.

타임라인 그래프에서 색상 점은 고유한 유형의 침입 이벤트를 나타내며 클릭하여 세부 정보를 볼 수 있습니다. 점 크기는 침입 이벤트가 표시된 횟수를 나타냅니다. 깜박이는 점은 공격이 진행 중임을 나타냅니다. 점을 가리켜 공격 이름, 시도 횟수, 첫 번째 발생 및 기타 세부 정보를 확인합니다.
  • 빨간색 점 - 위험 심각도 서명 이벤트를 나타냅니다.
  • 주황색 점 - 높은 심각도 서명 이벤트를 나타냅니다.
  • 노란색 점 - 중간 심각도 서명 이벤트를 나타냅니다.
  • 회색 점 - 낮은 심각도 서명 이벤트를 나타냅니다.
  • 자주색 - 의심스러운 심각도 서명 이벤트를 나타냅니다.

특정 서명에 대한 모든 침입 시도는 처음 발생할 때 그룹화되고 표로 표시됩니다.

이벤트 옆의 화살표를 클릭하여 세부 정보를 확인합니다.
세부 정보 설명
영향 점수

영향 점수는 위험 점수(위협의 심각도) 및 신뢰도 점수(감지 강도가 올바른지)를 결합한 값입니다.

심각도 침입의 서명 심각도입니다.
마지막 감지 날짜 서명이 마지막으로 발생한 시간입니다.
세부 정보 서명의 대상이 무엇인지에 대한 간단한 설명입니다.
영향을 받는 사용자 이벤트의 영향을 받은 사용자 수입니다.
워크로드 영향을 받는 워크로드 수입니다. 영향을 받는 워크로드 세부 정보를 보려면 클릭합니다.
CVE 세부 정보

악용의 대상이 된 취약점의 CVE 참조입니다.

CVSS

악용의 대상이 된 취약점의 일반 취약성 점수입니다.

침입 이벤트 세부 정보(최신 내용) - 소스 공격자의 IP 주소 및 사용된 소스 포트입니다.
침입 이벤트 세부 정보(최신 내용) - 게이트웨이 이벤트가 등록된 워크로드를 포함하는 Edge 노드 세부 정보입니다.
침입 이벤트 세부 정보(최신 내용) - 하이퍼바이저 이벤트가 등록된 워크로드를 포함하는 전송 노드 세부 정보입니다.
침입 이벤트 세부 정보(최신 내용) - 대상 희생자의 IP 주소 및 사용된 대상 포트입니다.
공격 방향 클라이언트-서버 또는 서버-클라이언트입니다.
공격 대상 공격의 대상입니다.
공격 유형 트로이 목마 또는 DoS(서비스 거부)와 같은 공격의 유형입니다.
영향을 받는 제품 악용에 취약한 제품을 표시합니다.
총 이벤트 수 이벤트에 대한 침입 시도의 총 수입니다.
침입 작업 이 특정 IDS 서명이 트리거된 총 횟수, 가장 최근 발생 및 첫 번째 발생을 표시합니다.
서비스 이벤트와 연결된 프로토콜 정보입니다.
서명 ID

IDS 서명의 고유 ID입니다.

서명 수정 IDS 서명의 수정 번호입니다.
Mitre 기술 감지된 활동을 설명하는 MITRE ATT&CK 기술입니다.
Mitre 전술 감지된 활동을 설명하는 MITRE ATT&CK 전술입니다.
연결된 IDS 규칙 이 이벤트를 발생시키는 구성된 IDS 규칙에 대한 클릭 가능한 링크입니다.
전체 침입 기록을 보려면 전체 이벤트 기록 보기 링크를 클릭합니다. 다음 세부 정보가 포함된 창이 열립니다.
세부 정보 설명
감지된 시간 서명이 마지막으로 발생한 시간입니다.
트래픽 유형

분산 또는 게이트웨이일 수 있습니다. 분산은 East-West 트래픽 흐름을 나타내고 게이트웨이는 North-South 트래픽 흐름을 나타냅니다.

영향을 받는 워크로드/IP 지정된 트래픽 흐름에 대해 지정된 공격 또는 취약점이 발생한 가상 시스템 또는 IP 주소의 수입니다.
시도 지정된 트래픽 흐름 동안 공격 또는 취약점에 대한 침입 시도 횟수입니다.
소스 공격자의 IP 주소입니다.
대상 희생자의 IP 주소입니다.
프로토콜 감지된 침입의 트래픽 프로토콜입니다.
규칙 서명이 속한 규칙입니다(프로파일을 통해).
프로파일 서명이 속한 프로파일입니다.
작업 이벤트에 대해 트리거된 다음 작업 중 하나입니다.
  • 삭제
  • 거절
  • 경고
다음 조건을 기준으로 침입 기록을 필터링할 수도 있습니다.
  • 작업
  • 대상 IP
  • 대상 포트
  • 프로토콜
  • 규칙
  • 소스 IP
  • 소스 포트
  • 트래픽 유형

로깅

NSX 구성 요소는 디렉터리 /var/log의 로그 파일에 씁니다. NSX 장치에서 NSX syslog 메시지는 RFC 5424를 준수합니다. ESXi 호스트에서 syslog 메시지는 RFC 3164를 준수합니다.

ESXi 호스트의 /var/log/nsx-idps 폴더에는 2가지 IDS/IPS 관련 로컬 이벤트 로그 파일이 있습니다.
  • fast.log - 제한된 정보가 있는 nsx-idps 프로세스 이벤트의 내부 로깅을 포함하며 디버깅 용도로만 사용됩니다.
  • nsx-idps-events.log - NSX 메타데이터를 비롯한 이벤트(모든 경고/삭제/거부)에 대한 자세한 정보를 포함합니다.
다중 테넌시
NSX 4.1.1부터 다중 테넌시가 NSX IDS/IPS에 대해서도 지원됩니다.

구성 메시지를 처리하는 동안 테넌트 컨텍스트가 기록됩니다. 컨텍스트는 다음 메시지에 대해 기록됩니다.

  1. IdsSignaturesMsg
  2. ContextProfileMsg
  3. SecurityFeatureToggleMsg
  4. RuleMsg - 규칙 메시지에 테넌트 컨텍스트가 직접 포함되어 있지 않습니다. RuleSectioMsg에서 검색됩니다.
  5. GlobalConfigMsg

이러한 로그는 /var/log/nsx-syslog.log에 저장됩니다. VPC 또는 프로젝트가 누락된 경우 테넌트 컨텍스트 필드에 빈 문자열이 인쇄됩니다. 조직이 누락된 경우 3개의 테넌트 컨텍스트 필드 중 어느 것도 인쇄되지 않습니다.

다중 테넌시에 대한 자세한 내용은 NSX 다중 테넌시 항목을 참조하십시오.
로깅 API

기본적으로 IDS/IPS syslog는 사용하도록 설정되지 않습니다. 다음 API를 실행하여 현재 설정을 쿼리합니다.

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

응답 예:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

중앙 로그 저장소로 NSX IDS/IPS 로그를 전송할 수 있도록 하려면 다음 API를 실행하고 ids_events_to_syslog 변수를 true로 설정합니다.

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

요청 예:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

이러한 이벤트는 ESXi 호스트에서 직접 내보내므로 원격 syslog가 ESXi 호스트에 구성되어 있는지 확인합니다. 또한 NSX Manager 및 ESXi 호스트가 Syslog 메시지를 중앙 로그 저장소에 전달하도록 설정되었는지 확인해야 합니다.

IDS/IPS API에 대한 내용은 "NSX API 가이드" 를 참조하십시오. 원격 로깅 구성에 대한 자세한 내용은 원격 로깅 구성로그 메시지 및 오류 코드 섹션의 모든 관련 정보를 참조하십시오.