NSX Network Detection and Response UI 的攻击活动详细信息页面中的证据选项卡显示为当前选择的攻击活动检测到的证据列表。
每一行是攻击活动的证据摘要。可以单击 
(或条目行中的任意位置)展开该行,以查看特征码证据信息。
证据列表包括以下列。
证据列 |
描述 |
|---|---|
IP 地址 |
作为威胁源的主机的 IP 地址。 |
首次看到时间 |
显示攻击活动开始时间的时间戳。 |
最后看到时间 |
显示攻击活动的最近活动的时间戳。 |
威胁 |
检测到的安全风险的名称。 |
威胁类别 |
检测到的安全风险类的名称。 |
影响 |
影响值指示检测到的威胁的严重程度,范围是 1-100:
如果显示 |
证据 |
获取的攻击活动证据值。请参见关于证据以了解详细信息。 |
主体 |
来自攻击活动的其他信息。这可能是 IP 地址、HTTP 响应代码或某些其他数据。 |
引用 |
单击该链接以访问网络事件详细信息页面。将在新的浏览器选项卡中打开该链接。请参见事件配置文件页面以了解详细信息。 |
事件集 ID |
指向相关事件集的永久链接。将在新的浏览器选项卡中打开该链接。请参见管理“事件集”页面。 |
[阻止图标],这表示已阻止该工件。单击 
图标以更改要显示的列。默认值是显示所有可用的列。
在单击 (或证据行中的任意位置)时,将显示以下信息。
信息名称 |
描述 |
|---|---|
威胁 |
检测到的安全风险的名称。 |
威胁类别 |
检测到的安全风险类的名称。 |
影响 |
攻击活动的影响评分。 |
检测器 |
如果存在,则显示查找威胁的 NSX Network Detection and Response 模块。单击该链接以查看检测器弹出窗口。 |
查看网络检测 |
如果存在,则显示查找威胁的 NSX Network Detection and Response 模块。单击该链接以查看“检测器”弹出窗口。 |
查看事件集 |
单击该链接以访问“网络事件详细信息”页面。将在新的浏览器选项卡中打开该链接。请参见事件配置文件页面。 |
首次看到时间 |
显示攻击活动开始时间的时间戳。 |
最后看到时间 |
显示攻击活动的最近活动的时间戳。 |
严重性 |
评估检测到的威胁的严重程度。例如,到命令和控制服务器的连接通常被视为高严重性,因为该连接可能具有破坏性。 |
置信度 |
指示检测到的单个威胁确实是恶意活动的可能性。由于系统使用高级启发式方法检测未知威胁,在某些情况下,如果该特定威胁的可用信息量有限,则检测到的威胁可能具有较低的置信度值。 |
