1

提供 NSX 可疑流量功能在选定时间段内检测到的可疑流量事件总数。

2

在该部分中，您选择一个时间段，以使系统确定 NSX 可疑流量 在该 UI 页面上报告有关检测到的事件的哪些历史数据。时间段是指相对于当前时间的过去某个时间段。默认时间段为过去 1 小时。要更改选定的时间段，请单击当前选择的时间段，然后从下拉菜单中选择另一个时间段。可用的选项包括过去 1 小时、过去 12 小时、过去 24 小时、过去 1 周、过去 2 周以及过去 1 个月。

3

图形切换开关确定是否显示气泡图。在关闭了图形切换开关时，仅网格显示有关可疑流量事件的信息。默认情况下，它切换到开启。

4

如果激活了 NSX Network Detection and Response 功能，在您查看 NSX 可疑流量 用户界面时，将在 UI 右上角显示应用程序启动器图标 。

要使用 NSX Network Detection and Response UI 查看有关检测到的异常事件的更多详细信息，请单击 图标，然后选择 NSX Network Detection and Response。从 NSX Network Detection and Response UI 中，再次单击应用程序启动器图标，然后选择 NSX 以返回到 NSX 可疑流量 UI。

5

该气泡图提供在选定时间段内发生检测到的事件时的可视时间线。每个事件是根据可疑流量事件的严重性绘制的。以下是严重性类别及其相应的严重性评分。

6

在筛选器区域中，您可以缩小为选定时间段显示的可疑流量事件范围。请单击筛选事件，从下拉菜单中选择要应用的筛选器，然后在显示的辅助下拉菜单中选择特定的项目。可用的筛选器包括以下内容。

• 置信度评分 - 这是根据 NSX 可疑流量 功能使用的专有算法分配的评分，表明系统对发生异常事件的确信程度。

• 检测器 - 设计用于检测网络流量中的异常事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。

• 影响评分 - 使用专有算法计算的评分，该算法使用可疑流量事件的置信度评分及其严重性的组合（如果已正确检测）。

• 策略 - 表示攻击者使用 ATT&CK 策略执行操作的原因。

• 技术 - 表示攻击者如何使用特定技术/子技术尝试实现其攻击的策略目标。

• 虚拟机 - 参与在选定时间段内发生的检测事件的虚拟机。

7

单击图例以列出可能在气泡图中显示的不同类型的气泡。以下列表介绍了每个气泡及其表示的可疑流量事件类型。

• 持久性 - 攻击者尝试保持对您的网络中的系统的控制。

• 凭据访问 - 攻击者尝试窃取帐户名称和密码。

• 发现 - 攻击者尝试了解您的网络环境。

• 命令和控制 - 攻击者尝试与受威胁的系统通信并控制它们。

• 横向移动 - 攻击者尝试在您的网络环境中移动。

• 收集 - 攻击者尝试收集有助于实现其最终目标的信息。

• 外泄 - 攻击者尝试从您的网络中窃取数据。

• 其他 - 检测器无法与 MITRE ATT&CK 框架中定义的特定策略相关联。

• 多个事件 - 在同一时间段内发生了多个可疑流量事件。向右移动时间范围滑块将改变显示的气泡类型的范围，因此，“多个事件”气泡可能拆分为多个其他类型的气泡。如果单击“多个事件”气泡，则会在标志中看到所有事件的列表。如果单击标志中的表的一行，将转到下面网格中的相关气泡行。

8

图表中的每个气泡表示在选定时间段内发生的一个或多个可疑流量事件。气泡的颜色或类型表示攻击者在检测到的攻击期间使用的策略。有关更多信息，请参见图例中的说明。

9

通过使用时间范围滑块，您可以细化查看在选定时间段内发生的可疑流量事件。突出显示的蓝色区域表示气泡图中显示的内容。在向右或向左滑动滑块时，将使用滑块中突出显示的时间段内发生的可疑流量事件更新气泡图。如果多个可疑流量事件是在相同的时间发生的，则由多个事件气泡表示这些可疑流量事件。在向右移动滑块时，您会注意到多个事件气泡展开为多个气泡，这些气泡表示在该时间段内发生的各种可疑流量事件。

10

网格显示有关 NSX 可疑流量功能在选定时间段内找到的每个可疑流量事件的信息。在未展开时，每一行显示以下重要事件数据。

• 影响 - 六边形内显示的数字是 NSX 可疑流量功能计算的可疑流量事件影响评分。影响评分是事件的置信度（置信度评分）和威胁的严重程度（严重性评分）的组合（如果已正确检测）。在指向六边形图标时，将显示包含置信度评分和严重性评分的工具提示。六边形的颜色和六边形旁边的文本是同一影响评分的两种其他表示形式。影响评分定义如下。

  • 75 到 100 的影响评分由红色边框六边形和严重文本表示。
  • 50 到 74 的影响评分由橙色边框六边形和高文本表示。
  • 25 到 49 的影响评分由黄色边框六边形和中等文本表示。
  • 0 到 24 的影响评分由灰色边框六边形和低文本表示。

• 检测时间 - 检测事件的日期和时间。

• 检测器 - NSX 可疑流量 功能用于检测事件的检测器的名称。在单击检测器名称时，将在一个对话框中显示有关检测器的更多信息，例如其目标、ATT&CK 类别以及有关检测器的摘要。“ATT&CK 类别”部分包含指向 MITRE ATT&CK 网站的链接，以提供有关可疑流量事件中使用的特定 ATT&CK 类别的更多详细信息。

• 类型 - 列出可疑流量事件中使用的策略和技术。

• 受影响的对象 - 列出可疑流量事件中涉及的源虚拟机和目标虚拟机。

示例屏幕截图还显示一个展开的行。在展开后，每一行显示更多事件信息。这些详细信息包括检测到的事件摘要和可视化内容说明或展开的行中显示的更多事件数据。例如，在上面的屏幕截图中，展开的行显示检测到的事件摘要以及可视化内容表示的信息。并非所有可疑流量事件都具有可视化图形。其他可疑流量事件仅具有更多详细数据。

11

展开的行可能还会在右下角显示一个或多个链接。在单击时，链接将视图更改为另一个 UI 页面，其中提供了有关检测到的事件的更多信息。以下是可疑流量事件的可用链接（如果适用）。

即使未激活 NSX Network Detection and Response 功能，也可能会启用以下链接。

• 查看受影响的虚拟机及其当前流量 - 在单击该链接时，系统将在安全规划和故障排除选项卡中显示可视化画布。它显示可疑流量事件中涉及的计算实体。有关更多信息，请参见在 NSX Intelligence 中使用计算视图。

如果激活了 NSX Network Detection and Response 应用程序，事件还可能具有以下链接（如果适用）。

• 攻击活动 - 如果 NSX Advanced Threat Prevention 云服务确定该可疑流量事件是攻击活动的一部分，则会启用该链接。在单击该链接时，将在 NSX Network Detection and Response 用户界面的攻击活动页面上显示有关攻击活动的详细信息。有关更多信息，请参见NSX 管理指南的“安全”一章的“NSX Network Detection and Response”一节中的“管理‘攻击活动’页面”主题。您可以在 VMware NSX 文档集中找到NSX 管理指南 3.2 和更高版本。

• 事件详细信息 - 在单击该链接时，将打开新的浏览器选项卡，并在 NSX Network Detection and Response 用户界面的事件配置文件页面中显示有关可疑流量事件的更多详细信息。有关更多信息，请参见NSX 管理指南的“安全”一章的“NSX Network Detection and Response”一节中的“使用‘事件’页面”主题。您可以在 VMware NSX 文档集中找到NSX 管理指南 3.2 和更高版本。