NSX Network Detection and Response 提供了一种筛选机制,以使您专注于感兴趣的下载文件的特定信息。使用筛选器是可选的。

过程

 1. 下载的文件页面中,单击 加号图标 以展开筛选器小组件。
 2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

  您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

  筛选器名称

  描述

  分析标记

  按分析标记限制显示的文件。这些是系统分析为文件或 URL 分配的标签。它们可以标识威胁或威胁类别,或引用检测到的特定恶意行为。

  分析人员 UUID

  将显示的文件限制为下载的文件的系统分析 UUID。这是用于分析文件的内部唯一标识符。

  应用程序协议

  将显示的文件限制为通过指定的协议之一传输的文件。支持的值包括 HTTP/HTTPS、FTP 和 SMB。

  已连接的 IP

  将显示的文件限制为从中下载文件的 IP 地址。与主机 IP 筛选器一样,它支持 IP 地址、CIDR 块或 IP 地址范围。

  文件类型筛选器

  将显示的文件限制为一种或多种简要文件类型。请参见文件类型列表(上面)。

  文件

  可以选择恶意以将显示的文件限制为恶意文件。系统分析为这些文件分配了 70 或更高的评分(满分 100)。

  主机 IP

  将显示的文件限制为网络中下载文件的主机的 IP 地址。此筛选器支持选择一个或多个 IP 地址、CIDR 块(例如,192.168.0.0/24)或 IP 地址范围(例如,192.168.1.5-192.168.1.9)。

  HTTP 主机

  将显示的文件限制为从中下载文件的主机名。

  注:

  该值是从下载文件的 HTTP 请求的 HTTP 主机标头中提取的。因此,它受客户端的控制,并可能会受到恶意软件的欺骗,例如,已在感染的主机上运行的恶意软件二进制文件。

  MD5

  将显示的文件限制为下载的文件的 MD5 哈希值。

  最低评分

  将显示的文件限制为系统分析分配的评分大于您选择的值 (1-100) 的文件。

 3. 要应用选定的筛选器,请单击应用
 4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 X 图标。

  在删除所有选定的筛选器时,将折叠筛选器小组件。