您可以監控事件並檢視過去 14 天的資料。

若要檢視入侵事件,請導覽至 安全性 > IDS/IPS。您可以根據以下準則來篩選事件:
  • 篩選準則。從下列選項中選取:
    篩選準則 說明
    攻擊目標 攻擊的目標。
    攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。
    CVSS 常見的漏洞分數 (根據高於所設定臨界值的分數篩選)。
    閘道名稱 事件登錄所在的閘道名稱。
    IP 位址 事件登錄所在的 IP 位址。
    受影響的產品 有漏洞的產品或 (版本),例如 Windows XP 或 Web_Browsers。
    特徵碼識別碼 特徵碼規則的唯一識別碼。
    虛擬機器名稱 事件登錄所在的虛擬機器 (以邏輯連接埠為基礎)。
  • 流量:從以下選項中選取:
    • 所有流量
    • 僅限分散式
    • 僅限閘道
  • 特徵碼動作:從以下選項中選取:
    • 顯示所有特徵碼
    • 已捨棄 (已防止)
    • 已拒絕 (已防止)
    • 警示 (僅偵測)
  • 嚴重性分級:從以下選項中選取:
    • 嚴重
    • 可疑

您可以切換時間表按鈕,以檢視或隱藏基於嚴重性分級的時間表圖形。此圖顯示在所選時間範圍內發生的事件。您可以放大此圖形上的特定時間範圍,以檢視在該時間範圍內發生的相關事件的特徵碼詳細資料。

在時間表圖形上,彩色點表示入侵事件的唯一類型,按一下這些點即可查看相關詳細資料。點的大小表示出現的入侵事件次數。閃爍點表示攻擊正在進行中。指向某個點可查看攻擊名稱、嘗試次數、第一次發生時間和其他詳細資料。
  • 紅色點 - 代表重大嚴重性特徵碼事件。
  • 橙色點 - 代表高嚴重性特徵碼事件。
  • 黃色點 - 代表中嚴重性特徵碼事件。
  • 灰色點 - 代表低嚴重性特徵碼事件。
  • 紫色 - 代表「可疑」嚴重性特徵碼事件。

特定特徵碼的所有入侵嘗試都會在其第一次發生時進行分組和繪製。

按一下事件旁邊的箭頭以檢視詳細資料。
詳細資料 說明
影響分數

影響分數是風險分數 (威脅的嚴重性) 與信賴度分數 (偵測正確的強度) 的合併值。

嚴重性 入侵的特徵碼嚴重性。
上次偵測時間 這是上次觸發特徵碼的時間。
詳細資料 特徵碼目標的簡要說明。
受影響的使用者 受事件影響的使用者數。
工作負載 受影響的工作負載數。按一下以檢視受影響的工作負載詳細資料。
CVE 詳細資料

可能被利用之漏洞的 CVE 參考。

CVSS

可能被利用之漏洞的常見漏洞分數。

入侵事件詳細資料 (最近發生) - 來源 攻擊者的 IP 位址和使用的來源連接埠。
入侵事件詳細資料 (最近發生) - 閘道 Edge 節點詳細資料,其中包含事件登錄所在的工作負載。
入侵事件詳細資料 (最近發生) - Hypervisor 傳輸節點詳細資料,其中包含事件登錄所在的工作負載。
入侵事件詳細資料 (最近發生) - 目標 受害者的 IP 位址和使用的目的地連接埠。
攻擊方向 用戶端-伺服器或伺服器-用戶端。
攻擊目標 攻擊的目標。
攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。
受影響的產品 說明什麼產品容易受到入侵。
事件總計 事件的入侵嘗試次數總計。
入侵活動 顯示觸發此特定 IDS 特徵碼的總次數、最近發生的時間和第一次發生的時間。
服務 與事件相關聯的通訊協定資訊。
特徵碼識別碼

IDS 特徵碼的唯一識別碼。

特徵碼修訂版本 IDS 特徵碼的修訂版本編號。
Mitre 技術 用來說明偵測到的活動的 MITRE ATT&CK 技術。
Mitre 戰略 用來說明偵測到的活動的 MITRE ATT&CK 戰略。
相關聯的 IDS 規則 已設定 IDS 規則的可點選連結,導致發生此事件。
若要檢視完整的入侵歷程記錄,請按一下 檢視完整事件歷程記錄連結。隨即會開啟一個視窗,其中提供下列詳細資料:
詳細資料 說明
偵測到的時間 這是上次觸發特徵碼的時間。
流量類型

這可以是 [分散式] 或 [閘道]。[分散式] 表示東西向流量,[閘道] 表示南北向流量。

受影響的工作負載/IP 在給定流量期間命中給定攻擊或漏洞的虛擬機器數或 IP 位址數。
嘗試 在給定流量期間進行攻擊或漏洞入侵的嘗試次數。
來源 攻擊者的 IP 位址。
目的地 受害者的 IP 位址。
通訊協定 偵測到入侵的流量通訊協定。
規則 特徵碼所屬的規則 (透過設定檔)。
設定檔 特徵碼所屬的設定檔。
動作 針對事件所觸發的動作可以是:
  • 捨棄
  • 拒絕
  • 警示
您還可以根據以下準則來篩選入侵歷程記錄:
  • 動作
  • 目的地 IP
  • 目的地連接埠
  • 通訊協定
  • 規則
  • 來源 IP
  • 來源連接埠
  • 流量類型

記錄

NSX-T Data Center 元件會寫入目錄 /var/log 中的記錄檔。在 NSX-T Data Center 應用裝置上,NSX-T Data Center Syslog 訊息會符合 RFC 5424。在 ESXi 主機上,Syslog 訊息會符合 RFC 3164。

ESXi 主機上的 /var/log/nsx-idps 資料夾中有兩個與 IDS/IPS 相關的本機事件記錄檔:
  • fast.log - 包含 nsx-idps 程序事件的內部記錄,其中包含有限的資訊,且僅用於偵錯用途。
  • nsx-idps-events.log - 包含有關事件 (所有警示/捨棄/拒絕) 的詳細資訊,並具有 NSX 中繼資料。

依預設,不會啟用 IDS/IPS Syslog。執行以下 API,以查詢目前設定。

GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

範例回應:

{
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": false,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
    "path": "/infra/settings/firewall/security/intrusion-services",
    "relative_path": "intrusion-services",
    "parent_path": "/infra",
    "unique_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "realization_id": "5035623f-255e-4153-945a-cc320451e4a0",
    "marked_for_delete": false,
    "overridden": false,
    "_create_time": 1665948964775,
    "_create_user": "system",
    "_last_modified_time": 1680466910136,
    "_last_modified_user": "admin",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 5
}

若要允許將 NSX-T Data Center IDS/IPS 記錄傳送到中央記錄存放庫,請執行以下 API,並將 ids_events_to_syslog 變數設定為 true。

PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/

範例要求:

 {
    "auto_update": true,
    "ids_ever_enabled": true,
    "ids_events_to_syslog": true,   
    "oversubscription": "BYPASSED",
    "resource_type": "IdsSettings",
    "id": "intrusion-services",
    "display_name": "intrusion-services",
     .
     .
     .
  }

這些事件直接從 ESXi 主機匯出,因此請確保已在 ESXi 主機上設定遠端 Syslog。您還必須確保同時將 NSX-T Data Center Manager 和 ESXi 主機設定為將 Syslog 訊息轉送至中央記錄存放庫。

如需 IDS/IPS API 的相關資訊,請參閱NSX-T Data Center API 指南》。如需有關設定遠端記錄的詳細資訊,請參閱設定遠端記錄記錄訊息和錯誤碼區段下方的所有相關訊息。