NSX Network Detection and Response UI 的主机配置文件页面中的文件下载选项卡显示主机下载的恶意文件,以及有关其内容和相应威胁级别的详细信息。

该列表上面的快速搜索文本框提供了快速的即输即搜功能。它筛选列表中的行,以仅显示任何字段中的文本与查询字符串匹配的行。

可以单击 三条横杠图标 图标以自定义要在列表中显示的列。

每一行是下载的文件摘要。可以单击 加号图标 图标(或条目行中的任意位置)以查看下载的文件的详细信息。

该列表按评分进行排序,并包括以下列。

列名称

描述

时间戳

检测文件下载的时间戳

主机

下载文件的主机。

传感器

检测到文件下载的传感器。

已连接的 IP

连接的主机的 IP 地址。

位置

对于下载,这是具有支持的格式的文件的 URL。例如,\\127.0.0.2\samba_share\1128dedb.exe 用于 SMB 下载,http://www.example.com/download/example.zip 用于 HTTP 下载。

对于上载,将显示“Upload”。

文件名

下载的文件的名称。

MD5

已下载文件的 MD5 哈希值。

类型

已下载文件的简要文件类型。请参见“唯一”选项卡以查看当前支持的类型列表。

AV 类别

该标签定义下载的文件的防病毒类别。如果标签具有 标记图标,您可以单击该图标以在弹出窗口中查看描述。

恶意软件

该标签定义下载的文件的恶意软件类型。如果标签具有 标记图标,您可以单击该图标以在弹出窗口中查看描述。

评分

分析分配给下载的文件的评分表示检测到的威胁的严重程度,范围是 0-100:

  • 70 或更高的威胁被视为严重。

  • 30-69 之间的威胁被视为中等风险。

  • 1-29 之间的威胁被视为正常。

有关恶意评分和风险评估的详细信息,请参见分析报告:“概览”选项卡

如果显示 已阻止图标 图标,这表示已阻止该工件。该列表按降序进行排序(最严重的威胁位于顶部)。可以单击 升序图标 以按升序对列表进行排序(最不严重的威胁位于顶部),然后单击 降序图标 以切换回默认设置。