熟悉用于 NSX Network Detection and Response 功能的以下重要术语。

术语 定义
攻击活动 在一段时间内影响一个或多个工作负载的一组相关事件集。
事件 表示在监控的网络中发生的安全相关活动。一个事件可能涉及多个数据流(例如 TCP 连接),但它表示短时间内在一对特定的 IP 地址之间发生的单一类型的活动。多个事件自动汇总为事件集。
事件集 表示在监控的网络中发生的安全相关活动。事件集可能包含单个事件,也可能包含已自动汇总为事件集的多个事件。
感染 已确定为严重的事件集。应立即处理感染。
滋扰 低风险事件集。这通常对应于可能不需要/有风险的活动,但不一定表示监控的网络受到破坏或发生感染。将跟踪滋扰,因为它们有助于了解更全面的网络状况。
事件影响评分 NSX Network Detection and Response 功能检测到的事件计算的总体影响评分。评分范围是 0-100,其中 100 是最危险的检测。将使用以下事件影响级别。
  • 低:影响 1-29
  • 中:影响 30-69
  • 高:影响 70-100
观察列表

已确定为中等风险的事件集。虽然表明存在潜在的风险,但不需要立即关注此类事件集。将密切观察这些事件集,以防出现改变其状态的新证据。

例如,涉及无法正常运行的命令和控制基础架构的事件集将列入观察列表。