[安全性] 儀表板可協助您設定功能,以保護您的網路和工作負載。安全性概觀儀表板顯示各種威脅偵測和回應功能、整體安全性組態的視覺摘要,以及 NSX 環境中各種物件的容量。

此儀表板上顯示的資訊取決於資料中心部署和啟用的安全性功能。

威脅事件監控

此索引標籤提供有關資料中心各種安全性問題目前狀態的重要見解。這些功能協助安全性團隊瞭解網路上的情況及應該關注之處。

活動

活動是一組運用特定 MITRE 戰略和技術的相關威脅事件。威脅事件可以對應至 MITRE ATT&CK 階段以定義攻擊案例。活動的範圍從短時間內單獨一組偵測事件,乃至於長時間內複雜的多管齊下攻擊。活動可讓您檢視完整的威脅事件時間表,以快速回應和分類。

如果啟用 VMware NSX® Network Detection and Response™ 功能,此 Widget 會顯示下列活動統計資料。
  • NSX Network Detection and Response 在此期間內識別且正在您的網路中發生的活動總數。
  • 在選定期間內進行中的高影響力活動總數。
  • 在選定期間內開始的高影響力活動總數。
  • 在選定期間內識別的活動所影響的虛擬機器總數。

按一下移至活動,從 NSX Network Detection and Response 使用者介面的活動頁面查看更多詳細資料。若要進一步瞭解 NSX Network Detection and Response 功能,請參閱 NSX Network Detection and Response

IDS/IPS
IDS/IPS 事件監控頁面顯示以下過去最多 14 天的摘要:
  • IDPS 摘要
    項目 說明
    入侵事件 以可點選的連結顯示入侵事件總數,以及導致警示或防護的入侵次數。
    獨特入侵特徵碼 以圖形顯示每個嚴重性類別中偵測到的入侵次數。
    依最高排名攻擊類型的事件 根據攻擊類型顯示圖形。
  • 分散式 IDS/IPS 摘要
    項目 說明
    依入侵嚴重性的趨勢 以圖形顯示嚴重性趨勢和依時間的入侵事件數目。
    分佈

    以雷達圖顯示 48 小時到 14 天期間內攻擊類型、攻擊目標或嚴重性的分佈。
    最高排名虛擬機器 顯示遭受入侵的最高排名虛擬機器。您還可以根據漏洞嚴重性準則檢視最高排名虛擬機器。
  • 閘道 IDS/IPS 摘要
    項目 說明
    依入侵嚴重性的趨勢 以圖形顯示嚴重性趨勢和依時間的入侵事件數目。
    分佈

    以雷達圖顯示 48 小時到 14 天期間內攻擊類型、攻擊目標或嚴重性的分佈。
    最高排名 IP 顯示遭受入侵的最高排名 IP。您還可以根據漏洞嚴重性準則檢視最高排名虛擬機器。
FQDN 分析
FQDN 分析摘要畫面顯示:
  • 已檢查的 URL 總數及其嚴重性層級。
  • 已檢查最多 FQDN 的最高排名 URL 類別。
  • 最高嚴重性 URL 及日期和時間。
URL 篩選
選取特定閘道或所有閘道以檢視下列資訊:
  • 依嚴重性分級的 URL 分佈。
  • 允許的 URL 的嚴重性層級,並顯示最多已檢查之 URL 的前五個類別。
  • 突顯已封鎖最多 URL 的前五個 URL 類別。
  • 唯一站台分佈顯示允許最多 URL 的前五個站台。突顯已封鎖最多 URL 的前五個站台。
惡意 IP

對於分散式防火牆,您可以設定 [惡意 IP 摘要],以下載已知的惡意 IP 清單。您可以透過防火牆規則封鎖對這些 IP 的存取,並監控系統是否存在任何例外狀況。監控畫面會顯示三個圖表,其中包含下列資訊。

  • 封鎖次數最多的 IP,以及 IP 遭封鎖的總次數。

  • 存取惡意 IP 或遭其存取次數最多的虛擬機器,以及存取虛擬機器或其存取的惡意 IP 總數。

  • 封鎖次數最多的類別,以及類別遭封鎖的總次數。

系統也會顯示每個資料群組的前 5 個項目。
按一下圖表上的任何資料點可開啟 [篩選和分析] 頁面,其中包含有關該資料點的詳細資訊。請注意,系統會將按一下的資料點設定為頁面上的篩選。您可以移除篩選並檢視所有惡意 IP 的清單。
惡意程式碼防護
以圖形格式顯示選定期間內的以下檔案事件統計資料:
  • 所檢查檔案事件、惡意檔案事件、可疑檔案事件和封鎖檔案的總數。
  • 針對不同威脅評分範圍的檔案檢查次數。
  • 資料中心內按時間戳記排序的最近檢查的前五個檔案。
  • 在資料中心內偵測到的前五個惡意檔案。
  • 資料中心內的惡意檔案事件、可疑檔案事件和抑制檔案事件的趨勢。
  • 根據檔案所屬惡意程式碼系列之檔案檢查的分佈。
  • 按執行的分析類型 (本機檔案分析、雲端檔案分析) 進行的檔案檢查之明細。
可疑的流量

如果啟用 VMware NSX® Intelligence™,此索引標籤會顯示選定期間內偵測到的可疑或異常事件的以下統計資料 (以圖形格式)。

  • 圓圈顯示選定期間內偵測到的異常總數。圓圈由彩色區段組成,代表偵測到的異常事件數目,以及用於偵測事件的 MITRE 對抗戰略和技術。
  • 偵測到的可疑事件清單 (依偵測時使用的相同 MITRE 戰略和技術分類),以及這些事件在選定期間內發生的次數。
  • 以條形圖顯示偵測到的異常數目,依嚴重性分類。

按一下檢視全部,使用可疑的流量頁面查看所偵測到可疑事件的詳細資訊。若要進一步瞭解 NSX 可疑流量 功能,請參閱 3.2 版及更新版本的《使用和管理 VMware NSX Intelligence》說明文件,網址為 https://docs.vmware.com/tw/VMware-NSX-Intelligence/index.html

TLS 檢查

TLS 檢查和解密提供安全的方式來瞄準企業 Web 流量中湧入的威脅。此功能使用 TLS Proxy,來明確攔截 TLS 連線上加密的流量,也允許 NSX 安全服務 (例如第 7 層防火牆、IDS 和 URL 篩選) 檢查內容並強制執行安全性原則。您可以使用精靈或手動按照工作流程來設定原則和規則。

[安全性概觀] 儀表板啟用時會顯示下列 TLS 連線和憑證詳細資料。
  • 環圈圖顯示 TLS 連線摘要詳細資料,包括:
    • 由於失敗而略過
    • 已解密
    • 連線失敗
    • 由於規則而略過
  • 連線和規則
    • 連線總計
    • 開啟的連線
    • CPS
    • 規則叫用
  • 環圈圖顯示憑證快取詳細資料,包括:
    • 快取叫用
    • 快取的憑證
    • 快取遺漏
  • 流量
    • 輸送量詳細資料,包括用戶端到伺服器和伺服器到用戶端
    • 流量總計詳細資料,包括用戶端到伺服器和伺服器到用戶端

組態

組態索引標籤提供快速摘要視圖,以可點選的連結顯示以下各項的數目:
  • 防火牆原則
  • 端點原則
  • IDS/IPS 原則
  • 惡意程式碼防護原則
  • 網路自我檢查原則
  • TLS 檢查原則

此頁面還提供詳細視圖來顯示以下各項的安全性設定:

閘道防火牆 Widget
突顯閘道防火牆安全性設定。按一下連結以檢視已啟用下列安全性功能的閘道:
  • IDS/IPS
  • 惡意程式碼防護
  • TLS 檢查

若要檢視已啟用這些安全性功能的閘道,您的資料中心至少必須部署上述其中一個安全性功能。

分散式防火牆 Widget
使用圖形突顯分散式防火牆原則總計。按一下以檢視詳細資料,例如原則分組、東西向安全性原則使用的前幾項服務及其動作 (允許、捨棄和拒絕),以及分散式防火牆規則總數。
端點保護 Widget

顯示虛擬機器端點保護組態的摘要。您可以依服務設定檔、有問題的元件及已設定來執行檔案自我檢查的虛擬機器,檢視虛擬機器分佈。

身分識別防火牆使用者工作階段 Widget
顯示 IDFW 作用中的使用者工作階段數目。
惡意程式碼防護 Widget

NSX 分散式惡意程式碼防護服務有任何元件關閉或無法運行時,此 UI Widget 將顯示問題。

例如:
  • NSX 惡意程式碼防護服務虛擬機器 (SVM) 上的安全中樞關閉時,橫條圖將顯示問題。將滑鼠指向長條可檢視以下詳細資料:
    • 受影響的 NSX 惡意程式碼防護 SVM 數目。
    • 因安全中樞發生故障導致主機上失去惡意程式碼安全防護的工作負載虛擬機器的數目。
  • 環圈圖顯示以下詳細資料:
    • 執行 NSX 檔案自我檢查驅動程式的工作負載虛擬機器的數目。
    • 未執行 NSX 檔案自我檢查驅動程式的工作負載虛擬機器的數目。

    在這兩個度量中,僅考量已對 NSX 分散式惡意程式碼防護啟動的主機叢集上的工作負載虛擬機器。

容量

僅在 NSX Manager UI 的管理程式模式下才能看到容量資訊。此儀表板上顯示的資訊取決於資料中心部署和啟用的安全性功能。