在单击 NSX Network Detection and Response 事件页面的检测事件小组件中的条目行时,您可以访问事件摘要边栏。
以下部分描述了您在该边栏上看到的内容。在顶部部分后面,后续部分显示支持数据。只有在具有相关的数据时,才会显示某些部分。
- 顶部部分
-
该边栏顶部包括以下内容:
-
要关闭该边栏,请单击
图标。 要在事件配置文件页面中查看事件,请单击详细信息
。有关更多信息,请参见事件配置文件页面。如果可用,将提供事件的简要描述。它包括对系统为什么标记该事件的解释,确定与该事件关联的威胁或恶意软件,并简要描述检测到的活动。
-
- 威胁详细信息
-
该部分包括以下信息。
威胁详细信息名称
描述
威胁
检测到的安全风险的名称。
威胁类别
检测到的安全风险类的名称。
事件检测器
事件检测器的名称。单击该链接以查看检测器弹出窗口。请参见“检测器文档”弹出窗口以了解详细信息。
如果事件没有检测器,则不会显示该部分。
影响
影响值指示检测到的威胁的严重程度,范围是 1-100:
70 或更高的威胁被视为严重。
30-69 之间的威胁被视为中等风险。
1-29 之间的威胁被视为正常。
操作
传感器执行的操作列表(例如,任何阻止活动、是否记录事件、是否捕获流量或提取恶意软件下载)。
结果
事件的结果。在大多数情况下,这是检测。
对于信息事件以及从信息状态升级的事件,一个额外的标签提供其状态/状态变化的原因。如果将鼠标悬停在该标签上,将显示一个弹出窗口以提供有关原因的其他详细信息。
首次看到时间/最后看到时间
具有首次和最后看到证据时的时间戳的图表。
持续时间信息显示在图表下面。
- 事件流量
-
事件流量小组件概述了在事件中涉及的主机之间观察到的流量。事件中涉及的至少一个主机是监控的主机。通信主机可以是受监控的主机或外部系统。如果数据可用,将显示用于查看捕获的流量的链接。
箭头指示主机之间的流量方向。
对于每个主机,将显示 IP 地址。如果主机是本地主机,则地址是一个链接,您可以单击该链接以查看主机配置文件页面。可能会显示地理定位标记、
或 
。可能会显示多个标记或图标。如果可用,将显示主机名。如果可以从 DHCP 流量监控中获取,则显示主机的 MAC 地址。将显示应用于主机的任何主机标记。如果可用,请单击 
以在 WHOIS 弹出窗口中查看主机详细信息。 - 事件证据
-
“事件证据”部分列出在分析事件时观察到的各种操作。有关更多详细信息,请单击事件详细信息链接以查看事件证据。
操作包括特征码、信誉、异常行为、文件下载、URL 路径匹配、验证、异常,等等。如果提供,请单击该链接以查看相应的检测器弹出窗口。将为每个操作显示一个置信度值。
- 恶意软件标识
-
如果激活了 NSX 恶意软件防护 应用程序,则会显示检测到的恶意软件的摘要。有关更多详细信息,请单击分析报告
链接以查看分析报告。有关更多信息,请参见使用分析报告。详细信息名称
描述
防病毒类别
该标签定义下载的文件的防病毒类别。
防病毒系列
该标签定义下载的文件的防病毒系列。
恶意软件
该标签定义下载的文件的恶意软件类型。如果标签具有
图标,您可以单击该图标以查看弹出描述。行为概览
检测到的已下载文件行为。如果具有很多数据,则默认显示部分列表。可以单击展开以查看更多信息
以查看更多信息。可以单击折叠以查看更少信息 
以再次将其关闭。 - 事件 URL
-
“事件 URL”部分显示在事件中检测到的所有 URL。只有在事件与一个 URL 关联时,才会显示该部分
- 事件元数据
-
“事件元数据”部分显示以下数据。
数据名称
描述
相关事件集
单击
可查看相关事件集(如有)。连接
事件中包含的连接数。
相关攻击活动
单击
可查看相关攻击活动(如有)。
