從 NSX-T Data Center 3.2 開始,全新設計的 [安全性] 儀表板協助您設定功能來保護網路和工作負載。安全性概觀儀表板顯示各種威脅偵測和回應功能、整體安全性組態的視覺摘要,以及 NSX-T Data Center 環境中各種物件的容量。
此儀表板上顯示的資訊取決於資料中心部署和啟用的安全性功能。
威脅偵測與回應
此索引標籤提供有關資料中心各種安全性問題目前狀態的重要見解。這些功能協助安全性團隊瞭解網路上的情況及應該關注之處。
- 活動
-
活動是一組運用特定 MITRE 戰略和技術的相關威脅事件。威脅事件可以對應至 MITRE ATT&CK 階段以定義攻擊案例。活動的範圍從短時間內單獨一組偵測事件,乃至於長時間內複雜的多管齊下攻擊。活動可讓您檢視完整的威脅事件時間表,以快速回應和分類。
如果啟用 VMware NSX® Network Detection and Response™ 功能,此 Widget 會顯示下列活動統計資料。- NSX Network Detection and Response 在此期間內識別且正在您的網路中發生的活動總數。
- 在選定期間內進行中的高影響力活動總數。
- 在選定期間內開始的高影響力活動總數。
- 在選定期間內識別的活動所影響的虛擬機器總數。
按一下移至活動,從 NSX Network Detection and Response 使用者介面的活動頁面查看更多詳細資料。若要進一步瞭解 NSX Network Detection and Response 功能,請參閱 NSX Network Detection and Response。
- IDS/IPS
-
- IDS/IPS 摘要畫面顯示下列資訊:
-
項目 說明 入侵事件 以可點選的連結顯示入侵事件總數,以及導致警示或防護的入侵次數。 獨特入侵特徵碼 以圖形顯示每個嚴重性類別中偵測到的入侵次數。 依最高排名攻擊類型的事件 根據攻擊類型顯示圖形。 - 分散式 IDS/IPS 摘要
項目 說明 依入侵嚴重性的趨勢 以圖形顯示嚴重性趨勢和依時間的入侵事件數目。 分佈 以雷達圖顯示 48 小時到 14 天期間內攻擊類型、攻擊目標或嚴重性的分佈。
最高排名虛擬機器 顯示遭受入侵的最高排名虛擬機器。 - 閘道 IDS/IPS 摘要
項目 說明 依入侵嚴重性的趨勢 以圖形顯示嚴重性趨勢和依時間的入侵事件數目。 分佈 以雷達圖顯示 48 小時到 14 天期間內攻擊類型、攻擊目標或嚴重性的分佈。
最高排名 IP 顯示遭受入侵的最高排名 IP。
- FQDN 分析
-
FQDN 分析摘要畫面顯示:
- 已檢查的 URL 總數及其嚴重性層級。
- 已檢查最多 FQDN 的最高排名 URL 類別。
- 最高嚴重性 URL 及日期和時間
- URL 篩選
-
選取特定閘道或所有閘道以檢視下列資訊:
- 依嚴重性分級的 URL 分佈。
- 允許的 URL 的嚴重性層級,並顯示已檢查最多 URL 的前五個類別
- 突顯已封鎖最多 URL 的前五個 URL 類別。
- 唯一站台分佈顯示允許最多 URL 的前五個站台。突顯已封鎖最多 URL 的前五個站台。
- 惡意程式碼防護
-
以圖形格式顯示選定期間內的以下檔案事件統計資料:
- 所檢查檔案事件、惡意檔案事件、可疑檔案事件和封鎖檔案的總數。
- 針對不同威脅評分範圍的檔案檢查次數。
- 資料中心內按時間戳記排序的最近檢查的前五個檔案。
- 在資料中心內偵測到的前五個惡意檔案。
- 資料中心內的惡意檔案事件、可疑檔案事件和隱藏檔案事件的趨勢。
- 根據檔案所屬惡意程式碼系列之檔案檢查的分佈。
- 按執行的分析類型 (本機檔案分析、雲端檔案分析) 進行的檔案檢查之明細。
- 可疑網路活動
-
如果啟用 VMware NSX® Intelligence™,此索引標籤會顯示選定期間內偵測到的可疑或異常事件的以下統計資料 (以圖形格式)。
- 圓圈顯示選定期間內偵測到的異常總數。圓圈由彩色區段組成,代表偵測到的異常事件數目,以及用於偵測事件的 MITRE 對抗戰略和技術。
- 偵測到的可疑事件清單 (依偵測時使用的相同 MITRE 戰略和技術分類),以及這些事件在選定期間內發生的次數。
- 以條形圖顯示偵測到的異常數目,依嚴重性分類。
按一下檢視全部,使用可疑的流量頁面查看所偵測到可疑事件的詳細資訊。若要深入瞭解 NSX 可疑流量 功能,請參閱 3.2 版及更新版本的《使用和管理 VMware NSX Intelligence》說明文件,網址為 https://docs.vmware.com/tw/VMware-NSX-Intelligence/index.html。
- TLS 檢查
-
TLS 檢查和解密提供安全的方式來瞄準企業 Web 流量中湧入的威脅。此功能使用 TLS Proxy,來明確攔截 TLS 連線上加密的流量,也允許 NSX 安全服務 (例如第 7 層防火牆、IDS 和 URL 篩選) 檢查內容並強制執行安全性原則。您可以使用精靈或手動按照工作流程來設定原則和規則。從 NSX-T Data Center 3.2.1 開始,此功能可在生產環境中使用,並且完全支援此類環境。在 NSX-T Data Center 3.2.0 中,只在技術預覽模式下才能使用此功能。如需詳細資料,請參閱TLS 檢查和 《NSX-T Data Center 版本說明》。
[安全性概觀] 儀表板啟用時會顯示下列 TLS 連線和憑證詳細資料。- 環圈圖顯示 TLS 連線摘要詳細資料,包括:
- 由於失敗而略過
- 已解密
- 連線失敗
- 由於規則而略過
- 連線和規則
- 連線總計
- 開啟的連線
- CPS
- 規則叫用
- 環圈圖顯示憑證快取詳細資料,包括:
- 快取叫用
- 快取的憑證
- 快取遺漏
- 流量
- 輸送量詳細資料,包括用戶端到伺服器和伺服器到用戶端
- 流量總計詳細資料,包括用戶端到伺服器和伺服器到用戶端
- 環圈圖顯示 TLS 連線摘要詳細資料,包括:
組態
- 防火牆原則
- 端點原則
- IDS/IPS 原則
- 惡意程式碼防護原則
- 網路自我檢查原則
- TLS 檢查原則
此頁面還提供詳細視圖來顯示以下各項的安全性設定:
- 閘道防火牆 Widget
-
突顯閘道防火牆安全性設定。按一下連結以檢視已啟用下列安全性功能的閘道:
- IDS/IPS
- 惡意程式碼防護
- TLS 檢查
若要檢視已啟用這些安全性功能的閘道,您的資料中心至少必須部署上述其中一個安全性功能。
- 分散式防火牆 Widget
- 端點保護 Widget
-
顯示虛擬機器端點保護組態的摘要。您可以依服務設定檔、有問題的元件及已設定來執行檔案自我檢查的虛擬機器,檢視虛擬機器分佈。
- 惡意程式碼防護 Widget
-
當 NSX 分散式惡意程式碼防護服務有任何元件關閉或無法運行時,此 UI Widget 將顯示問題。
例如:- 當 NSX 惡意程式碼防護服務虛擬機器 (SVM) 上的安全中樞關閉時,橫條圖將顯示問題。將滑鼠指向長條可檢視以下詳細資料:
- 受影響的 NSX 惡意程式碼防護 SVM 數目。
- 因安全中樞發生故障導致主機上失去惡意程式碼安全防護的工作負載虛擬機器的數目。
- 環圈圖顯示以下詳細資料:
- 執行 NSX 檔案自我檢查驅動程式的工作負載虛擬機器的數目。
- 未執行 NSX 檔案自我檢查驅動程式的工作負載虛擬機器的數目。
在這兩個度量中,僅考量已對 NSX 分散式惡意程式碼防護啟動的主機叢集上的工作負載虛擬機器。
- 當 NSX 惡意程式碼防護服務虛擬機器 (SVM) 上的安全中樞關閉時,橫條圖將顯示問題。將滑鼠指向長條可檢視以下詳細資料:
容量
- 自我檢查規則 N-S 第 1 層
- Active Directory 網域 (身分識別防火牆)
- 服務鏈結
- 自我檢查原則 E-W
- 已儲存防火牆規則組態
- 自我檢查原則 N-S 第 0 層
- 自我檢查服務路徑
- 全系統防火牆規則
- 自我檢查規則 N-S 第 0 層
- 自我檢查規則 E-W
- 已啟用全系統端點保護的虛擬機器
- 自我檢查原則 N-S 第 1 層
- 分散式防火牆區段
- 全系統防火牆區段
- Active Directory 網域 (身分識別防火牆)
- 已啟用全系統端點保護的主機
- 分散式防火牆規則