1

提供 NSX 可疑流量 功能在选定时间段内进行的可疑事件检测总数。

2

在该部分中，您选择一个时间段，以使系统确定 NSX 可疑流量 在该 UI 页面上报告有关检测到的事件的哪些历史数据。时间段是指相对于当前时间的过去某个时间段。默认时间段为过去 1 小时。要更改选定的时间段，请单击当前选择的时间段，然后从下拉菜单中选择另一个时间段。可用的选项包括过去 1 小时、过去 12 小时、过去 24 小时、过去 1 周、过去 2 周以及过去 1 个月。

3

图表切换开关确定是否显示气泡图。在关闭了图表切换开关时，仅网格显示有关检测事件的信息。默认情况下，它切换到开启。

4

如果激活了 NSX Network Detection and Response 功能，在您查看 NSX 可疑流量 用户界面时，将在 UI 右上角显示应用程序启动器图标 。

要使用 NSX Network Detection and Response UI 查看有关检测到的异常事件的更多详细信息，请单击 图标，然后选择 NSX Network Detection and Response。从 NSX Network Detection and Response UI 中，再次单击应用程序启动器图标，然后选择 NSX-T 以返回到 NSX 可疑流量 UI。

5

该气泡图提供在选定时间段内发生检测到的事件时的可视时间线。每个事件是根据检测事件的严重性绘制的。以下是严重性类别及其相应的严重性评分。

6

在筛选器区域中，您可以缩小为选定时间段显示的检测事件的范围。请单击筛选检测事件，然后从下拉菜单中选择要应用的筛选器，并在显示的额外下拉菜单中选择特定的项目。可用的筛选器包括以下内容。

• 置信度评分 - 这是根据 NSX 可疑流量 功能使用的专有算法分配的评分，表明系统对发生异常事件的确信程度。

• 检测器 - 设计用于检测网络流量中的异常事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。

• 影响评分 - 由专有算法计算的评分，该算法使用检测事件的置信度评分及其严重性的组合（如果已正确检测）。

• 策略 - 表示攻击者使用 ATT&CK 策略执行操作的原因。

• 技术 - 表示攻击者如何使用特定技术/子技术尝试实现其攻击的策略目标。

• 虚拟机 - 参与在选定时间段内发生的检测事件的虚拟机。

7

单击图例以列出可能在气泡图中显示的不同类型的气泡。以下列表描述了每种气泡及其表示的检测事件类型。

• 持久性 - 攻击者尝试保持对您的网络中的系统的控制。

• 凭据访问 - 攻击者尝试窃取帐户名称和密码。

• 发现 - 攻击者尝试了解您的网络环境。

• 命令和控制 - 攻击者尝试与受威胁的系统通信并控制它们。

• 横向移动 - 攻击者尝试在您的网络环境中移动。

• 收集 - 攻击者尝试收集有助于实现其最终目标的信息。

• 外泄 - 攻击者尝试从您的网络中窃取数据。

• 其他 - 检测器无法与 MITRE ATT&CK 框架中定义的特定策略相关联。

• 多个事件 - 在同一时间段内发生了多个检测事件。向右移动时间范围滑块将改变显示的气泡类型的范围，因此，“多个事件”气泡可能拆分为多个其他类型的气泡。

8

图表中的每个气泡表示在选定时间段内发生的一个或多个检测事件。气泡的颜色或类型表示攻击者在检测到的攻击期间使用的策略。有关更多信息，请参见图例中的说明。

9

通过使用时间范围滑块，您可以查看在选定时间段的部分时间内发生的检测事件。突出显示的蓝色区域表示气泡图中显示的内容。在您向右或向左滑动滑块时，将使用滑块中突出显示的时间段内发生的检测事件更新气泡图。如果检测事件是在相同的时间发生的，则由多个事件气泡表示这些检测事件。在您向右移动时滑块，将会注意到多个事件气泡展开为多个气泡，这些气泡表示在该时间段内发生的不同检测事件。

10

网格显示有关 NSX 可疑流量 功能在选定时间段内找到的每个检测事件的信息。在未展开时，每一行显示以下重要事件数据。

• 影响 - NSX 可疑流量 功能为检测事件计算的影响评分。

• 严重性 - 表示事件的有害程度。可能的值为“低”、“中”、“高”和“严重”。这些值与气泡图中使用的值相对应。

• 检测时间 - 检测事件的日期和时间。

• 检测器 - NSX 可疑流量 功能用于检测事件的检测器的名称。在单击检测器名称时，将显示一个对话框以提供有关检测器的其他信息，例如其目标、ATT&CK 类别以及有关检测器的摘要。“ATT&CK 类别”部分包含指向 MITRE ATT&CK 网站的链接，以提供有关检测事件中使用的特定 ATT&CK 类别的更多详细信息。

• 类型 - 列出检测事件中使用的策略和技术。

• 受影响的对象 - 列出检测事件中涉及的源虚拟机和目标虚拟机。

示例屏幕截图还显示一个展开的行。在展开时，每一行显示额外的事件信息。这些详细信息包括在展开的行中显示的检测事件摘要，以及可视化内容或额外事件数据的解释。例如，在上面的屏幕截图中，展开的行显示检测到的事件摘要以及可视化内容表示的信息。并非所有检测事件都具有可视化内容。其他检测事件仅具有额外的详细数据。

11

展开的行可能还会在右下角显示一个或多个链接。在单击时，链接将视图更改为另一个 UI 页面，其中提供了有关检测到的事件的更多信息。以下是检测事件的可用链接（如果适用）。

即使未激活 NSX Network Detection and Response 功能，也可能会启用以下链接。

• 查看受影响的虚拟机及其当前流量 - 在单击该链接时，系统将在安全规划和故障排除选项卡中显示可视化画布。它显示检测事件中涉及的计算实体。有关详细信息，请参见使用“计算”视图。

如果激活了 NSX Network Detection and Response 应用程序，事件还可能具有以下链接（如果适用）。

• 攻击活动 - 如果 NSX Advanced Threat Prevention 云服务确定该检测事件是攻击活动的一部分，则启用该链接。在单击该链接时，将在 NSX Network Detection and Response 用户界面的攻击活动页面上显示有关攻击活动的详细信息。有关详细信息，请参见NSX-T Data Center 管理指南“安全”一章下“NSX Network Detection and Response”一节中的“管理‘攻击活动’页面”主题。您可以在 https://docs.vmware.com/cn/VMware-NSX/index.html 中找到 3.2 及更高版本的NSX-T Data Center 管理指南。

• 事件详细信息 - 在单击该链接时，将打开一个新的浏览器选项卡，并在 NSX Network Detection and Response 用户界面的事件配置文件页面中显示有关检测事件的更多详细信息。有关详细信息，请参见NSX-T Data Center 管理指南“安全”一章下“NSX Network Detection and Response”一节中的“使用‘事件’页面”主题。您可以在 https://docs.vmware.com/cn/VMware-NSX/index.html 中找到 3.2 及更高版本的NSX-T Data Center 管理指南。