您可以監控事件並檢視過去 14 天的資料。

若要檢視入侵事件,請導覽至 安全性 > IDS/IPS。您可以根據以下準則來篩選事件:
  • 篩選準則。從下列選項中選取:
    篩選準則 說明
    攻擊目標 攻擊的目標。
    攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。
    CVSS 常見的漏洞分數 (根據高於所設定臨界值的分數篩選)。
    閘道名稱 事件登錄所在的閘道名稱。
    IP 位址 事件登錄所在的 IP 位址。
    受影響的產品 有漏洞的產品或 (版本),例如 Windows XP 或 Web_Browsers。
    特徵碼識別碼 特徵碼規則的唯一識別碼。
    虛擬機器名稱 事件登錄所在的虛擬機器 (以邏輯連接埠為基礎)。
  • 流量:從以下選項中選取:
    • 所有流量
    • 僅限分散式
    • 僅限閘道
  • 特徵碼動作:從以下選項中選取:
    • 顯示所有特徵碼
    • 已捨棄 (已防止)
    • 已拒絕 (已防止)
    • 警示 (僅偵測)
  • 嚴重性分級:從以下選項中選取:
    • 嚴重
    • 可疑

您可以切換時間表按鈕,以檢視或隱藏基於嚴重性分級的時間表圖形。此圖顯示在所選時間範圍內發生的事件。您可以放大此圖形上的特定時間範圍,以檢視在該時間範圍內發生的相關事件的特徵碼詳細資料。

在時間表圖形上,彩色點表示入侵事件的唯一類型,按一下這些點即可查看相關詳細資料。點的大小表示出現的入侵事件次數。閃爍點表示攻擊正在進行中。指向某個點可查看攻擊名稱、嘗試次數、第一次發生時間和其他詳細資料。
  • 紅色點 - 代表重大嚴重性特徵碼事件。
  • 橙色點 - 代表高嚴重性特徵碼事件。
  • 黃色點 - 代表中嚴重性特徵碼事件。
  • 灰色點 - 代表低嚴重性特徵碼事件。
  • 紫色 - 代表「可疑」嚴重性特徵碼事件。

特定特徵碼的所有入侵嘗試都會在其第一次發生時進行分組和繪製。

按一下事件旁邊的箭頭以檢視詳細資料。
詳細資料 說明
影響分數

影響分數是風險分數 (威脅的嚴重性) 與信賴度分數 (偵測正確的強度) 的合併值。
嚴重性 入侵的特徵碼嚴重性。
上次偵測時間 這是上次觸發特徵碼的時間。
詳細資料 特徵碼目標的簡要說明。
受影響的使用者 受事件影響的使用者數。
工作負載 受影響的工作負載數。按一下以檢視受影響的工作負載詳細資料。
CVE 詳細資料

可能被利用之漏洞的 CVE 參考。
CVSS

可能被利用之漏洞的常見漏洞分數。
入侵事件詳細資料 (最近發生) - 來源 攻擊者的 IP 位址和使用的來源連接埠。
入侵事件詳細資料 (最近發生) - 閘道 Edge 節點詳細資料,其中包含事件登錄所在的工作負載。
入侵事件詳細資料 (最近發生) - Hypervisor 傳輸節點詳細資料,其中包含事件登錄所在的工作負載。
入侵事件詳細資料 (最近發生) - 目標 受害者的 IP 位址和使用的目的地連接埠。
攻擊方向 用戶端-伺服器或伺服器-用戶端。
攻擊目標 攻擊的目標。
攻擊類型 攻擊的類型,例如特洛伊木馬程式或拒絕服務 (DoS)。
受影響的產品 說明什麼產品容易受到入侵。
事件總計 事件的入侵嘗試次數總計。
入侵活動 顯示觸發此特定 IDS 特徵碼的總次數、最近發生的時間和第一次發生的時間。
服務 與事件相關聯的通訊協定資訊。
特徵碼識別碼

IDS 特徵碼的唯一識別碼。
特徵碼修訂版本 IDS 特徵碼的修訂版本編號。
Mitre 技術 用來說明偵測到的活動的 MITRE ATT&CK 技術。
Mitre 戰略 用來說明偵測到的活動的 MITRE ATT&CK 策略。
相關聯的 IDS 規則 已設定 IDS 規則的可點選連結,導致發生此事件。
若要檢視完整的入侵歷程記錄,請按一下 檢視完整事件歷程記錄連結。隨即會開啟一個視窗,其中提供下列詳細資料:
詳細資料 說明
偵測到的時間 這是上次觸發特徵碼的時間。
流量類型

這可以是 [分散式] 或 [閘道]。[分散式] 表示東西向流量,[閘道] 表示南北向流量。
受影響的工作負載/IP 在給定流量期間命中給定攻擊或漏洞的虛擬機器數或 IP 位址數。
嘗試 在給定流量期間進行攻擊或漏洞入侵的嘗試次數。
來源 攻擊者的 IP 位址。
目的地 受害者的 IP 位址。
通訊協定 偵測到入侵的流量通訊協定。
規則 特徵碼所屬的規則 (透過設定檔)。
設定檔 特徵碼所屬的設定檔。
動作 針對事件所觸發的動作可以是:
  • 捨棄
  • 拒絕
  • 警示
您還可以根據以下準則來篩選入侵歷程記錄:
  • 動作
  • 目的地 IP
  • 目的地連接埠
  • 通訊協定
  • 規則
  • 來源 IP
  • 來源連接埠
  • 流量類型

遠端記錄

NSX-T Data Center 元件會寫入目錄 /var/log 中的記錄檔。在 NSX-T Data Center 應用裝置和 KVM 主機上,NSX-T Data Center Syslog 訊息會符合 RFC 5424。在 ESXi 主機上,Syslog 訊息會符合 RFC 3164。

ESXi 主機上的 /var/log/nsx-idps 資料夾中有三個事件記錄檔:
  • fast log - 包含 nsx-idps 程序事件的內部記錄,其中包含有限的資訊,且僅用於偵錯用途。
  • nsx-idps-log - 包含一般的 nsx-idps 程序記錄,其中包含基本資訊和有關程序工作流程的錯誤。
  • nsx-idps-events.log - 包含有關事件 (所有警示/捨棄/拒絕) 的詳細資訊,並具有 NSX 中繼資料。

若要允許將 NSX-T Data Center IDS/IPS 記錄傳送到中央記錄存放庫,請使用以下 API。

執行以下 API,以查詢目前設定。

GET https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

{
   ...
   "global_idsevents_to_syslog_enabled": false,
   ...
 }

如果將 global_idsevents_to_syslog.enabled 變數設定為 false,請執行以下 API,以將其設定為 true。

PUT https://<Manager-IP>/api/v1/global-configs/IdsGlobalConfig

Result:
    {
      "global_idsevents_to_syslog_enabled": true,
      "_revision": <revision number from GET>
     }

這些事件會直接從 ESXi 主機匯出,因此請確定已在 ESXi 主機上設定遠端 Syslog。

您還必須確保同時將 NSX-T Data Center Manager 和 ESXi 主機設定為將 Syslog 訊息轉送至中央記錄存放庫。

如需有關設定遠端記錄的詳細資訊,請參閱設定遠端記錄記錄訊息和錯誤碼區段下方的所有相關訊息。