全部选项卡显示在您的 NSX-T Data Center 网络中分析的所有文件下载实例。

“全部”选项卡中随时间下载的文件

全部选项卡中的下载的文件小组件概述了在指定时间范围内在监控的网络中下载的文件数量。该图表是每日下载文件直方图,按简要文件类型进行分组。

该小组件显示已分析的所有文件下载。

有关文件类型列表,请参见随时间下载的文件

在“下载的文件”页面中使用筛选器

NSX Network Detection and Response 提供了一种筛选机制,以使您专注于感兴趣的下载文件的特定信息。使用筛选器是可选的。

过程

  1. 下载的文件页面中,单击 加号图标 以展开筛选器小组件。
  2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

    您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

    筛选器名称

    描述

    分析标记

    按分析标记限制显示的文件。这些是系统分析为文件或 URL 分配的标签。它们可以标识威胁或威胁类别,或引用检测到的特定恶意行为。

    分析人员 UUID

    将显示的文件限制为下载的文件的系统分析 UUID。这是用于分析文件的内部唯一标识符。

    应用程序协议

    将显示的文件限制为通过指定的协议之一传输的文件。支持的值包括 HTTP/HTTPS、FTP 和 SMB。

    已连接的 IP

    将显示的文件限制为从中下载文件的 IP 地址。与主机 IP 筛选器一样,它支持 IP 地址、CIDR 块或 IP 地址范围。

    文件类型筛选器

    将显示的文件限制为一种或多种简要文件类型。请参见文件类型列表(上面)。

    文件

    可以选择恶意以将显示的文件限制为恶意文件。系统分析为这些文件分配了 70 或更高的评分(满分 100)。

    主机 IP

    将显示的文件限制为网络中下载文件的主机的 IP 地址。此筛选器支持选择一个或多个 IP 地址、CIDR 块(例如,192.168.0.0/24)或 IP 地址范围(例如,192.168.1.5-192.168.1.9)。

    HTTP 主机

    将显示的文件限制为从中下载文件的主机名。

    注:

    该值是从下载文件的 HTTP 请求的 HTTP 主机标头中提取的。因此,它受客户端的控制,并可能会受到恶意软件的欺骗,例如,已在感染的主机上运行的恶意软件二进制文件。

    MD5

    将显示的文件限制为下载的文件的 MD5 哈希值。

    最低评分

    将显示的文件限制为系统分析分配的评分大于您选择的值 (1-100) 的文件。

  3. 要应用选定的筛选器,请单击应用
  4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 X 图标。

    在删除所有选定的筛选器时,将折叠筛选器小组件。

“全部”选项卡中的“下载的文件”列表

下载的文件列表显示网络中的主机已下载并由 NSX Advanced Threat Prevention 服务处理的所有文件。

列表左上角的快速搜索文本框提供了快速的即输即搜功能。它筛选列表中的行,并仅显示任何列中的文本与您在搜索文本框中输入的查询字符串匹配的行。

要自定义列表中显示的列,请单击位于列表右上角的 额外内容图标。以周围文本进行了说明。 图标。

您可以自定义要显示的行数。默认值为 20 个条目。可以使用 左尖角号右尖角号图标 图标浏览多个页面。

每一行是下载的文件摘要。可以单击 加号图标 图标或条目行中的任意位置以访问下载的文件的详细视图。

有关下载的文件的详细视图的其他信息,请参见下载的文件详细信息

该列表按时间戳信息进行排序,并包括以下列。
列名称 描述
时间戳 检测文件下载的时间戳。
主机 下载文件的主机。
已连接的 IP 已连接主机的 IP 地址。
位置

对于下载,这是具有支持的格式的文件的 URL。例如,\\127.0.0.2\samba_share\1128dedb.exe 用于 SMB 下载,http://www.example.com/download/example.zip 用于 HTTP 下载。

对于上载,将显示“Upload”。

MD5 已下载文件的 MD5 哈希值。
类型 已下载文件的简要类型。有关文件类型列表,请参见随时间下载的文件
AV 类别 该标签定义下载的文件的防病毒类别。如果标签具有 标记图标 图标,您可以单击该图标以查看弹出描述。
恶意软件 该标签定义下载的文件的恶意软件类型。如果标签具有 标记图标 图标,您可以单击该图标以查看弹出描述。
评分

NSX Intelligence 分析为下载的文件分配的评分。可以单击 列表排序图标 以按评分对列表进行排序。

如果显示 已阻止图标,这表示已阻止该工件。