使用恶意软件防护仪表板可深入查看在数据中心提取的文件的事件详细信息,以便进行更深入的监控和分析。
仪表板可以显示过去 14 天内的文件事件。有关分布式防火墙和网关防火墙支持的最大文件事件数的信息,请参见“VMware 最高配置”工具,网址为 https://configmax.vmware.com/home。
有关文件事件(文件检查)的信息显示在两个选项卡页面中。
- “潜在的恶意软件”页面
-
显示特定时间段内在数据中心提取的恶意文件、可疑文件和未检查(列入允许列表的)文件的汇总事件详细信息。
气泡图中的气泡表示在数据中心提取的唯一文件。文件的唯一标识是其文件哈希。气泡内的颜色和图形表示文件是恶意文件、可疑文件还是未检查(列入允许列表的)文件。
表格中的一行表示一个文件。气泡上的数字表示为文件计算的威胁评分。评分范围为 0 到 100,表示与文件相关的风险程度或恶意意图。威胁评分越高,表示风险越大,反之亦然。例如:- 正常文件的评分范围为 0–29。
- 可疑文件的评分范围为 30–69。
- 恶意文件的评分范围为 70–100。
- 未检查的文件评分为 -1。
如果文件的判定结果为恶意或可疑文件,则会显示此文件的恶意软件系列和恶意软件类。单个文件可以属于多个恶意软件系列和恶意软件类。但是,如果 NSX-T 不知道文件的恶意软件系列和恶意软件类,则不会在 UI 中显示此信息。
注: 对于每个文件,事件详细信息(检查详细信息)将汇总显示在仪表板上。例如,如果单个文件在数据中心检查了五次,则会生成五个文件事件。也就是说,文件的检查次数为 5。但是,此文件在气泡图中用单个气泡显示,在表格中则显示为单个行。将鼠标指向一个气泡,将显示对文件执行的检查摘要。同样,当您展开表格中文件的行时,将显示最近的文件检查的详细信息。但是,此文件所有之前的检查历史记录将保留,以便您查看。下表介绍了气泡图上所用图标的含义。图标 含义
时间轴上的小气泡表示对文件的一次检查。
时间轴上的大气泡表示对单个文件进行的多次检查。
示例:假设在三天内在五个客户机虚拟机上提取了一个 .exe 文件,且 NSX 已确定此文件为可疑文件。在这种情况下,对数据中心内的 .exe 文件进行了五次唯一文件检查。在上次检查的时间戳的可疑时间轴上显示一个大气泡。您可以单击气泡,查看此 .exe 文件的所有五次检查的历史记录。
时间轴上的一组气泡表示具有相同判定结果的多次唯一文件检查。
示例:假设同时(或几乎同时)从数据中心的南北向流量中提取了四个唯一的 .docx 文件:A、B、C 和 D,且 NSX 已确定所有这些文件都是恶意文件。所有四个文件的气泡组合在一起,显示在气泡图的恶意时间轴上。
- “所有文件”页面
- 显示在数据中心提取的所有唯一文件(包括正常文件)的表格视图。换句话说,此页面显示所有唯一文件,而不考虑文件的判定结果。展开表格中的行可查看相应文件的最近一次检查的详细信息。
前提条件
- 已在 NSX Application Platform 中成功激活 NSX 恶意软件防护 功能。
- 已在 ESXi 主机集群和/或 Tier-1 网关上激活 NSX 恶意软件防护 功能,具体取决于您的安全要求。