使用恶意软件防护仪表板可深入查看在数据中心提取的文件的事件详细信息,以便进行更深入的监控和分析。

仪表板可以显示过去 14 天内的文件事件。有关分布式防火墙和网关防火墙支持的最大文件事件数的信息,请参见“VMware 最高配置”工具,网址为 https://configmax.vmware.com/home

有关文件事件(文件检查)的信息显示在两个选项卡页面中。
“潜在的恶意软件”页面

显示特定时间段内在数据中心提取的恶意文件、可疑文件和未检查(列入允许列表的)文件的汇总事件详细信息。

气泡图中的气泡表示在数据中心提取的唯一文件。文件的唯一标识是其文件哈希。气泡内的颜色和图形表示文件是恶意文件、可疑文件还是未检查(列入允许列表的)文件。

表格中的一行表示一个文件。气泡上的数字表示为文件计算的威胁评分。评分范围为 0 到 100,表示与文件相关的风险程度或恶意意图。威胁评分越高,表示风险越大,反之亦然。例如:
  • 正常文件的评分范围为 0–29。
  • 可疑文件的评分范围为 30–69。
  • 恶意文件的评分范围为 70–100。
  • 未检查的文件评分为 -1。

如果文件的判定结果为恶意或可疑文件,则会显示此文件的恶意软件系列和恶意软件类。单个文件可以属于多个恶意软件系列和恶意软件类。但是,如果 NSX-T 不知道文件的恶意软件系列和恶意软件类,则不会在 UI 中显示此信息。

注: 对于每个文件,事件详细信息(检查详细信息)将汇总显示在仪表板上。例如,如果单个文件在数据中心检查了五次,则会生成五个文件事件。也就是说,文件的检查次数为 5。但是,此文件在气泡图中用单个气泡显示,在表格中则显示为单个行。将鼠标指向一个气泡,将显示对文件执行的检查摘要。同样,当您展开表格中文件的行时,将显示最近的文件检查的详细信息。但是,此文件所有之前的检查历史记录将保留,以便您查看。
下表介绍了气泡图上所用图标的含义。
图标 含义

小气泡图标图片。

时间轴上的小气泡表示对文件的一次检查。

大气泡图标图片

时间轴上的大气泡表示对单个文件进行的多次检查。

示例:假设在三天内在五个客户机虚拟机上提取了一个 .exe 文件,且 NSX 已确定此文件为可疑文件。在这种情况下,对数据中心内的 .exe 文件进行了五次唯一文件检查。在上次检查的时间戳的可疑时间轴上显示一个大气泡。您可以单击气泡,查看此 .exe 文件的所有五次检查的历史记录。

一组气泡图标的图片

时间轴上的一组气泡表示具有相同判定结果的多次唯一文件检查。

示例:假设同时(或几乎同时)从数据中心的南北向流量中提取了四个唯一的 .docx 文件:A、B、C 和 D,且 NSX 已确定所有这些文件都是恶意文件。所有四个文件的气泡组合在一起,显示在气泡图的恶意时间轴上。
“所有文件”页面
显示在数据中心提取的所有唯一文件(包括正常文件)的表格视图。换句话说,此页面显示所有唯一文件,而不考虑文件的判定结果。展开表格中的行可查看相应文件的最近一次检查的详细信息。

前提条件

  • 已在 NSX Application Platform 中成功激活 NSX 恶意软件防护 功能。
  • 已在 ESXi 主机集群和/或 Tier-1 网关上激活 NSX 恶意软件防护 功能,具体取决于您的安全要求。

过程

  1. 从浏览器中,通过 https://nsx-manager-ip-address 登录到 NSX Manager
  2. 单击安全性,然后在左侧导航窗格中单击恶意软件防护
    此时将显示 潜在的恶意软件页面。默认情况下,气泡图和表格显示过去一小时内提取的文件。要查看其他时间段的文件,请单击此页面右上角的下拉菜单,然后选择其他时间段。
  3. (可选) 单击页面右上角的筛选器图标,然后选择筛选页面上信息的条件。
    筛选条件将同时应用于气泡图和表格。目前,支持的筛选条件为“判定结果”(包括列入允许列表)和 SHA256 哈希。
  4. 监控仪表板上显示的文件事件详细信息(检查)。
    1. 将鼠标指向气泡可在弹出窗口中查看有关文件检查的摘要信息。
      弹出窗口中的信息取决于您是将鼠标指向小气泡、大气泡还是一组气泡。例如,如果您将鼠标指向小气泡,弹出窗口会显示有关文件单次检查的摘要信息。
    2. 如果需要,拖动气泡图中的时间轴进行缩小或放大。
    3. 单击气泡可直接跳至表格中的相应文件。展开行可查看相应文件的最近一次检查的完整详细信息。
      字段 描述

      文件类型

      在传输节点(主机或 Edge)上提取的文件类型。例如,PdfDocFile、PeExeFile、ShellScriptFile 等。

      文件类型详细信息

      有关文件类型的简要信息。

      客户端 (最后)

      在上次检查中接收文件的目标计算机。

      对于在数据中心内的分布式东西向流量中的端点虚拟机上提取的文件,客户端是端点虚拟机本身。

      对于在南北向流量中在 NSX Edge 上提取的文件,流量方向决定了客户端。

      例如,如果数据中心内的虚拟机将文件上载到数据中心外的计算机,则客户端是数据中心外的计算机。如果数据中心内的虚拟机从数据中心外的计算机下载文件,则客户端是数据中心内的虚拟机。

      服务器 (最后)

      上次检查时从中接收文件的源计算机。

      对于在数据中心内的分布式东西向流量中的端点虚拟机上提取的文件,NSX 恶意软件防护 无法确定文件的源。因此,服务器 (最后) 框始终为空。

      对于在南北向流量中在 NSX Edge 上提取的文件,流量方向决定了服务器。

      例如,如果数据中心内的虚拟机从数据中心外的计算机下载文件,则服务器是数据中心外的计算机。如果数据中心内的虚拟机将文件上载到数据中心外的计算机,则服务器是数据中心内的虚拟机。

      文件名

      与文件关联的名称。单个文件具有唯一的哈希值,但接收该文件的客户端可能会使用不同的名称保存该文件。

      协议

      用于文件传输的协议。例如,HTTP、FTP、HTTPS 等。

      工作负载

      单击此字段旁边的数字可查看数据中心内受该文件影响的所有工作负载虚拟机的列表。

      总检查数

      单击此字段旁边的数字可查看对文件执行的所有检查的历史记录。例如,如果文件在数据中心内被检查了 10 次,则弹出窗口将显示所有 10 次检查的摘要。

      防火墙类型

      值为主机Edge

      如果文件上次是从运行分布式防火墙的 ESXi 主机中提取的,则值为主机

      如果文件上次是从运行网关防火墙的 Edge 中提取的,则值为 Edge

      传输节点

      最近一次检查时提取的文件所在的 Edge 传输节点或主机传输节点的 ID。

      首次检查时间

      首次在数据中心检查文件的日期和时间。

      最后检查时间

      最近一次在数据中心检查文件的日期和时间。

      提交者

      该值始终为系统,这意味着 NSX 已将文件提交到云以进行详细分析。

      分析人员 UUID

      提交到云进行详细分析的文件的 UUID。无论文件是在最近一次检查期间还是在之前的任何检查中提交到云,都会显示 UUID。如果文件已多次提交到云,则会显示上次提交的 UUID。

      已阻止

      表示文件是否被阻止。值为“是”或“否”。
    4. (可选) 执行以下其他任务:
  5. 单击所有文件选项卡。
    此页面显示在数据中心提取的所有唯一文件的列表,而不考虑文件的判定结果。默认情况下,将显示过去一小时内提取的文件。要查看不同时间段的文件列表,请单击此页面右上角的下拉菜单,然后选择其他时间段。