熟悉用于 NSX 可疑流量 功能的术语。
术语 |
定义 |
---|---|
异常事件 |
这是以前的 NSX Intelligence 版本中使用的术语,其中 NSX Anomaly Detection(现在为 NSX 可疑流量)功能是作为技术预览版功能引入的。该术语现在被检测事件取代。 |
攻击活动 |
在一段时间内影响一个或多个设备的一组相关事件集。 如果激活了 NSX Network Detection and Response 功能,将在 NSX 可疑流量 UI 上显示指向攻击活动的链接(如果适用)。 |
置信度评分 |
这是根据 NSX 可疑流量 功能使用的专有算法计算的评分,表明系统对发生异常事件的确信程度。 |
检测事件 |
偏离标准或预期水平的网络流量活动。该数据是由 NSX 可疑流量 检测器生成的。 |
检测器 |
设计用于检测网络流量中的事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。 |
影响评分 |
由专有算法计算的评分,该算法使用检测事件的置信度评分及其严重性的组合(如果已正确检测)。 |
严重性 |
表示威胁的有害程度。有效的值为“严重”、“高”、“中”或“低”。 |
策略 |
表示攻击者使用 ATT&CK 技术或子技术执行操作的原因。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/。 |
技术 |
表示攻击者如何尝试执行操作以实现其攻击的策略目标。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/。 |