您可以監控事件並檢視過去 14 天的資料。
- 篩選準則。從下列選項中選取:
篩選準則 說明 攻擊目標 攻擊的目標。 攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。 CVSS 常見的漏洞分數 (根據高於所設定臨界值的分數篩選)。 閘道名稱 事件登錄所在的閘道名稱。 IP 位址 事件登錄所在的 IP 位址。 受影響的產品 有漏洞的產品或 (版本),例如 Windows XP 或 Web_Browsers。 特徵碼識別碼 特徵碼規則的唯一識別碼。 虛擬機器名稱 事件登錄所在的虛擬機器 (以邏輯連接埠為基礎)。 - 流量:從以下選項中選取:
- 所有流量
- 僅限分散式
- 僅限閘道
- 特徵碼動作:從以下選項中選取:
- 顯示所有特徵碼
- 已捨棄 (已防止)
- 已拒絕 (已防止)
- 警示 (僅偵測)
- 嚴重性分級:從以下選項中選取:
- 嚴重
- 高
- 中
- 低
- 可疑
您可以切換時間表按鈕,以檢視或隱藏基於嚴重性分級的時間表圖形。此圖顯示在所選時間範圍內發生的事件。您可以放大此圖形上的特定時間範圍,以檢視在該時間範圍內發生的相關事件的特徵碼詳細資料。
- 紅色點 - 代表重大嚴重性特徵碼事件。
- 橙色點 - 代表高嚴重性特徵碼事件。
- 黃色點 - 代表中嚴重性特徵碼事件。
- 灰色點 - 代表低嚴重性特徵碼事件。
- 紫色 - 代表「可疑」嚴重性特徵碼事件。
特定特徵碼的所有入侵嘗試都會在其第一次發生時進行分組和繪製。
詳細資料 | 說明 |
---|---|
影響分數 | 影響分數是風險分數 (威脅的嚴重性) 與信賴度分數 (偵測正確的強度) 的合併值。 |
嚴重性 | 入侵的特徵碼嚴重性。 |
上次偵測時間 | 這是上次觸發特徵碼的時間。 |
詳細資料 | 特徵碼目標的簡要說明。 |
受影響的使用者 | 受事件影響的使用者數。 |
工作負載 | 受影響的工作負載數。按一下以檢視受影響的工作負載詳細資料。 |
CVE 詳細資料 | 可能被利用之漏洞的 CVE 參考。 |
CVSS | 可能被利用之漏洞的常見漏洞分數。 |
入侵事件詳細資料 (最近發生) - 來源 | 攻擊者的 IP 位址和使用的來源連接埠。 |
入侵事件詳細資料 (最近發生) - 閘道 | Edge 節點詳細資料,其中包含事件登錄所在的工作負載。 |
入侵事件詳細資料 (最近發生) - Hypervisor | 傳輸節點詳細資料,其中包含事件登錄所在的工作負載。 |
入侵事件詳細資料 (最近發生) - 目標 | 受害者的 IP 位址和使用的目的地連接埠。 |
攻擊方向 | 用戶端-伺服器或伺服器-用戶端。 |
攻擊目標 | 攻擊的目標。 |
攻擊類型 | 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。 |
受影響的產品 | 說明什麼產品容易受到入侵。 |
事件總計 | 事件的入侵嘗試次數總計。 |
入侵活動 | 顯示觸發此特定 IDS 特徵碼的總次數、最近發生的時間和第一次發生的時間。 |
服務 | 與事件相關聯的通訊協定資訊。 |
特徵碼識別碼 | IDS 特徵碼的唯一識別碼。 |
特徵碼修訂版本 | IDS 特徵碼的修訂版本編號。 |
Mitre 技術 | 用來說明偵測到的活動的 MITRE ATT&CK 技術。 |
Mitre 戰略 | 用來說明偵測到的活動的 MITRE ATT&CK 戰略。 |
相關聯的 IDS 規則 | 已設定 IDS 規則的可點選連結,導致發生此事件。 |
詳細資料 | 說明 |
---|---|
偵測到的時間 | 這是上次觸發特徵碼的時間。 |
流量類型 | 這可以是 [分散式] 或 [閘道]。[分散式] 表示東西向流量,[閘道] 表示南北向流量。 |
受影響的工作負載/IP | 在給定流量期間命中給定攻擊或漏洞的虛擬機器數或 IP 位址數。 |
嘗試 | 在給定流量期間進行攻擊或漏洞入侵的嘗試次數。 |
來源 | 攻擊者的 IP 位址。 |
目的地 | 受害者的 IP 位址。 |
通訊協定 | 偵測到入侵的流量通訊協定。 |
規則 | 特徵碼所屬的規則 (透過設定檔)。 |
設定檔 | 特徵碼所屬的設定檔。 |
動作 | 針對事件所觸發的動作可以是:
|
- 動作
- 目的地 IP
- 目的地連接埠
- 通訊協定
- 規則
- 來源 IP
- 來源連接埠
- 流量類型
記錄
NSX-T Data Center 元件會寫入目錄 /var/log 中的記錄檔。在 NSX-T Data Center 應用裝置上,NSX-T Data Center Syslog 訊息會符合 RFC 5424。在 ESXi 主機上,Syslog 訊息會符合 RFC 3164。
- fast.log - 包含 nsx-idps 程序事件的內部記錄,其中包含有限的資訊,且僅用於偵錯用途。
- nsx-idps-events.log - 包含有關事件 (所有警示/捨棄/拒絕) 的詳細資訊,並具有 NSX 中繼資料。
依預設,不會啟用 IDS/IPS Syslog。執行以下 API,以查詢目前設定。
GET https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
範例回應:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": false, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", "path": "/infra/settings/firewall/security/intrusion-services", "relative_path": "intrusion-services", "parent_path": "/infra", "unique_id": "5035623f-255e-4153-945a-cc320451e4a0", "realization_id": "5035623f-255e-4153-945a-cc320451e4a0", "marked_for_delete": false, "overridden": false, "_create_time": 1665948964775, "_create_user": "system", "_last_modified_time": 1680466910136, "_last_modified_user": "admin", "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 5 }
若要允許將 NSX-T Data Center IDS/IPS 記錄傳送到中央記錄存放庫,請執行以下 API,並將 ids_events_to_syslog 變數設定為 true。
PATCH https://<Manager-IP>/api/v1/infra/settings/firewall/security/intrusion-services/
範例要求:
{ "auto_update": true, "ids_ever_enabled": true, "ids_events_to_syslog": true, "oversubscription": "BYPASSED", "resource_type": "IdsSettings", "id": "intrusion-services", "display_name": "intrusion-services", . . . }
這些事件直接從 ESXi 主機匯出,因此請確保已在 ESXi 主機上設定遠端 Syslog。您還必須確保同時將 NSX-T Data Center Manager 和 ESXi 主機設定為將 Syslog 訊息轉送至中央記錄存放庫。
如需 IDS/IPS API 的相關資訊,請參閱《NSX-T Data Center API 指南》。如需有關設定遠端記錄的詳細資訊,請參閱設定遠端記錄和記錄訊息和錯誤碼區段下方的所有相關訊息。