熟悉在 Security IntelligenceNSX Suspicious Traffic功能上下文中使用的术语。

术语

定义

攻击活动

在一段时间内影响一个或多个设备的一组相关事件集。

如果激活了 NSX Network Detection and Response 功能,将在 NSX Suspicious Traffic UI 上显示指向攻击活动的链接(如果适用)。

置信度评分

这是根据 NSX Suspicious Traffic 功能使用的专有算法计算的评分,表明系统对发生异常事件的确信程度。

检测器

设计用于检测网络流量中的事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。

影响评分

使用专有算法计算的评分,该算法使用事件的置信度评分和威胁的严重程度(严重性评分)的组合(如果已正确检测)。

可疑流量事件

偏离标准或预期水平的网络流量活动。该数据是由 NSX Suspicious Traffic检测器生成的。这也可以简称为事件

替代以前版本中使用的异常事件检测事件术语。

策略

表示攻击者使用 ATT&CK 技术或子技术执行操作的原因。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/

技术

表示攻击者如何尝试执行操作以实现其攻击的策略目标。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/