下载的文件详细信息视图是在下载的文件列表中展开的。

您将会看到以下可用的详细信息的一部分,具体取决于您在下载的文件页面上选择的选项卡。

详细信息名称

描述

分析报告

可以单击相应链接或 链接图标 图标以在新的选项卡中查看分析报告。

文件类型

已下载文件的简要类型。有关文件类型列表,请参见随时间下载的文件

文件类型详细信息

如果可用,则显示有关文件类型的更多详细信息。例如,PE executable, application, 32-bit, Intel i386Zip archive data

文件名

如果可用,则显示文件的名称。

已下载

对于唯一下载,这是网络中的主机下载文件的次数。

可以单击数字或 搜索图标 图标以查看下载页面上的文件下载。该链接传递一个分析人员 UUID 筛选器,以将视图限制为特定文件的下载。

下载者

网络中下载文件的主机的 IP 地址。

如果可用,请单击 WHOIS 图标,以便在WHOIS 弹出窗口中查看有关主机的注册信息和其他数据。

URL

文件下载的 URL。这是 UTF-8 编码的 Unicode 字符串。

URL

文件下载的原始 URL。如果在 URL 中具有任何非 ASCII 字符,这些字符以及反斜杠字符本身将进行反斜杠编码。

协议

用于下载文件的网络协议。HTTP/HTTPS、FTP 或 SMB 之一。

下载源

已连接主机的 IP 地址。

如果可用,请单击 WHOIS 图标,以便在WHOIS 弹出窗口中查看有关主机的注册信息和其他数据。

HTTP 主机

如果可用,则显示连接的主机的域名。该名称可能是从其他数据获取的,包括 IP 地址。

如果可用,请单击 WHOIS 图标,以便在WHOIS 弹出窗口中查看有关主机的注册信息和其他数据。

用户代理

从 HTTP/HTTPS 请求中提取的用户代理字符串。

首次下载

对于唯一下载,这是第一个记录的文件下载检测的时间戳。

最后下载

对于唯一下载,这是最近一次文件下载检测的时间戳。

时间戳

检测文件下载的时间戳。

文件大小

文件的大小,以字节为单位。

MD5

已下载文件的 MD5 哈希值。

SHA1

已下载文件的 SHA1 哈希值。

提交状态

指示未提交下载的文件以进行全面分析的原因。通常,这是预筛选或其他原因造成的。将鼠标悬停在 问号图标 图标上可显示一个弹出窗口,其中包含更多详细信息。

分析人员 UUID

NSX Advanced Threat Prevention 服务在处理下载的文件后返回的唯一标识符。

事件 ID

指向文件下载的关联事件的链接。可以单击相应 ID 或 链接图标 以查看事件。有关更多信息,请参见检测事件

分析概览

“分析概览”部分提供 NSX Advanced Threat Prevention 服务对下载的文件进行的分析的结果摘要。

要在新的选项卡中打开完整的分析报告,请单击 黑圈中的链图标。请参见使用分析报告

要将检测到的文件下载到您的本地计算机中,请单击屏幕右侧的 文件下载图标。从下拉菜单中,选择下载文件以 Zip 格式下载

如果您选择以 Zip 格式下载,则会显示以 Zip 格式下载文件弹出窗口,以提示您为存档提供可选的密码。单击下载以完成下载 .ZIP 文件的过程。

重要说明:

NSX Network Detection and Response 应用程序仅允许您在特定条件下下载检测到的文件。

如果工件被视为低风险,则会显示 文件下载图标,您可以将其下载到您的本地计算机中。

如果工件被视为有风险,则不会显示 文件下载图标,除非您的许可证具有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能。

您必须注意,工件在打开时可能会造成危害。

NSX Network Detection and Response 界面可能会显示警告: 正在下载恶意文件弹出窗口。可以单击我同意按钮以接受条件并下载文件。

对于恶意工件,您可能希望将文件封装在 ZIP 存档中,以防止监控您的流量的其他解决方案自动检查该威胁。

如果您没有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能并需要能够下载恶意工件,请与 VMware 支持部门联系。

可以单击 展开图标折叠图标 展开和折叠选项卡上的各个部分。

该“分析概览”部分提供 NSX Advanced Threat Prevention 服务分析的文件或 URL 的分析结果摘要。该部分显示以下数据。
  • MD5 - 文件的 MD5 哈希值。要在您的网络中搜索该工件的其他实例,请单击 <搜索图标>。
  • SHA1 - 文件的 SHA1 哈希值。
  • SHA256 - 文件的 SHA256 哈希值。
  • MIME 类型 - 用于标识文件中的数据类型的标签。
  • 提交 - 提交时间戳。

“威胁级别”部分从分析结果摘要开始:发现文件 md5 哈希值是恶意/正常的

然后,它显示以下数据:
风险评估
该部分显示风险评估结果。
  • 恶意评分 - 设置满分为 100 的评分。
  • 风险评估 - 评估该工件产生的风险:
    • 高 - 该工件表示严重风险,您必须优先解决该问题。此类主体通常是包含漏洞的特洛伊木马文件或文档,从而导致感染的系统遭到严重破坏。风险是多方面的:从信息泄露到系统出现运行问题。这些风险的一部分是从检测到的活动类型推断的。该类别的评分阈值通常大于 70。
    • 中 - 该工件表示长期风险,您必须密切监控该问题。它可能是包含可疑内容的网页,从而可能导致网页木马下载尝试。它也可能是广告软件或假冒防病毒产品,它不会立即产生严重威胁,但可能会导致系统出现运行问题。该类别的评分阈值通常为 30-70。
    • 低 - 该工件被视为正常,您可以将其忽略。该类别的评分阈值通常低于 30。

  • 防病毒类别 - 该工件所属的防病毒或恶意软件类别。例如,特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。

  • 防病毒系列 - 该工件所属的防病毒或恶意软件系列。例如,valyria、darkside 等。要搜索该系列的其他实例,请单击搜索图标。

分析概览
显示的信息按严重性进行排序,并包括以下属性:
  • 严重性 - 在分析工件期间检测到的活动的恶意程度,评分为 0-100。额外的图标指示可能运行该工件的操作系统。
  • 类型 - 在分析工件期间检测到的活动类型。这些类型包括:
    • 自动启动 - 能够在计算机关闭后重新启动。
    • 禁用 - 能够禁用系统的关键组件。
    • 避开 - 能够避开分析环境。
    • 文件 - 文件系统上的可疑活动。
    • 内存 - 系统内存中的可疑活动。
    • 网络 - 网络级别的可疑活动。
    • 信誉 - 已知来源或由信誉良好的组织签名。
    • 设置 - 能够永久更改关键系统设置。
    • 特征码 - 恶意主体标识。
    • 窃取 - 能够访问并可能会泄露敏感信息。
    • 隐身 - 能够不被用户注意到。
    • 静默 - 良性主体标识。
  • 描述 - 对应于在分析工件期间检测到的每种类型的活动的描述。
  • ATT&CK 策略 - 攻击的一个或多个 MITRE ATT&CK 阶段。多个策略以逗号分隔。
  • ATT&CK 技术 - 观察到恶意攻击者可能使用的操作或工具。多种技术以逗号分隔。
  • 链接 - 要搜索该活动的其他实例,请单击搜索图标。
其他工件
该部分列出在分析提交的样本期间观察到的其他工件(文件和 URL),将提交这些工件以进行深入分析。该部分包括以下属性:
  • 描述 - 描述其他工件。
  • SHA1 - 其他工件的 SHA1 哈希值。
  • 内容类型 - 其他工件的 MIME 类型。
  • 评分 - 其他工件的恶意评分。要查看关联的分析报告,请单击 分析报告图标
解码的命令行参数
如果在分析期间执行了任何 PowerShell 脚本,系统将对这些脚本进行解码,以使其参数以更便于用户阅读的形式提供。
第三方工具
该链接指向 VirusTotal 门户上有关工件的报告。