熟悉在 NSX IntelligenceNSX 可疑流量功能上下文中使用的术语。

术语

定义

攻击活动

在一段时间内影响一个或多个设备的一组相关事件集。

如果激活了 NSX Network Detection and Response 功能,将在 NSX 可疑流量 UI 上显示指向攻击活动的链接(如果适用)。

置信度评分

这是根据 NSX 可疑流量 功能使用的专有算法计算的评分,表明系统对发生异常事件的确信程度。

检测器

设计用于检测网络流量中的事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。

影响评分

使用专有算法计算的评分,该算法使用事件的置信度评分和威胁的严重程度(严重性评分)的组合(如果已正确检测)。

可疑流量事件

偏离标准或预期水平的网络流量活动。该数据是由 NSX 可疑流量检测器生成的。这也可以简称为事件

替代以前版本中使用的异常事件检测事件术语。

策略

表示攻击者使用 ATT&CK 技术或子技术执行操作的原因。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/

技术

表示攻击者如何尝试执行操作以实现其攻击的策略目标。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/