熟悉在 Security Intelligence 的 NSX Suspicious Traffic功能上下文中使用的术语。
术语 |
定义 |
---|---|
攻击活动 |
在一段时间内影响一个或多个设备的一组相关事件集。 如果激活了 NSX Network Detection and Response 功能,将在 NSX Suspicious Traffic UI 上显示指向攻击活动的链接(如果适用)。 |
置信度评分 |
这是根据 NSX Suspicious Traffic 功能使用的专有算法计算的评分,表明系统对发生异常事件的确信程度。 |
检测器 |
设计用于检测网络流量中的事件的传感器。检测器映射到单个 MITRE ATT&CK 类别或技术。 |
影响评分 |
使用专有算法计算的评分,该算法使用事件的置信度评分和威胁的严重程度(严重性评分)的组合(如果已正确检测)。 |
可疑流量事件 |
偏离标准或预期水平的网络流量活动。该数据是由 NSX Suspicious Traffic检测器生成的。这也可以简称为事件。 替代以前版本中使用的异常事件和检测事件术语。 |
策略 |
表示攻击者使用 ATT&CK 技术或子技术执行操作的原因。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/。 |
技术 |
表示攻击者如何尝试执行操作以实现其攻击的策略目标。有关 MITRE ATT&CK 框架的信息,请参见 https://attack.mitre.org/。 |