NSX Network Detection and Response UI 的分析报告页面中的概览选项卡提供 NSX Advanced Threat Prevention 服务分析的文件的分析结果摘要。

要将检测到的文件下载到您的本地计算机中,请单击屏幕右侧的 文件下载图标。从下拉菜单中,选择下载文件以 Zip 格式下载

如果您选择以 Zip 格式下载,则会显示以 Zip 格式下载文件弹出窗口,以提示您为存档提供可选的密码。单击下载以完成下载 .ZIP 文件的过程。

重要说明:

NSX Network Detection and Response 应用程序仅允许您在特定条件下下载检测到的文件。

如果工件被视为低风险,则会显示 文件下载图标,您可以将其下载到您的本地计算机中。

如果工件被视为有风险,则不会显示 文件下载图标,除非您的许可证具有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能。

您必须注意,工件在打开时可能会造成危害。

NSX Network Detection and Response 界面可能会显示警告: 正在下载恶意文件弹出窗口。可以单击我同意按钮以接受条件并下载文件。

对于恶意工件,您可能希望将文件封装在 ZIP 存档中,以防止监控您的流量的其他解决方案自动检查该威胁。

如果您没有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能并需要能够下载恶意工件,请与 VMware 支持部门联系。

“分析概览”部分

注: 如果 NSX Advanced Threat Prevention 服务在文件分析期间遇到错误,则会显示一个突出显示的块。它包含遇到的错误列表。
该“分析概览”部分提供 NSX Advanced Threat Prevention 服务分析的文件或 URL 的分析结果摘要。该部分显示以下数据。
  • MD5 - 文件的 MD5 哈希值。要在您的网络中搜索该工件的其他实例,请单击 <搜索图标>。
  • SHA1 - 文件的 SHA1 哈希值。
  • SHA256 - 文件的 SHA256 哈希值。
  • MIME 类型 - 用于标识文件中的数据类型的标签。
  • 提交 - 提交时间戳。

“威胁级别”部分

“威胁级别”部分从分析结果摘要开始:发现文件 md5 哈希值是恶意/正常的

然后,它显示以下数据:
风险评估
该部分显示风险评估结果。
  • 恶意评分 - 设置满分为 100 的评分。
  • 风险评估 - 评估该工件产生的风险:
    • 高 - 该工件表示严重风险,您必须优先解决该问题。此类主体通常是包含漏洞的特洛伊木马文件或文档,从而导致感染的系统遭到严重破坏。风险是多方面的:从信息泄露到系统出现运行问题。这些风险的一部分是从检测到的活动类型推断的。该类别的评分阈值通常大于 70。
    • 中 - 该工件表示长期风险,您必须密切监控该问题。它可能是包含可疑内容的网页,从而可能导致网页木马下载尝试。它也可能是广告软件或假冒防病毒产品,它不会立即产生严重威胁,但可能会导致系统出现运行问题。该类别的评分阈值通常为 30-70。
    • 低 - 该工件被视为正常,您可以将其忽略。该类别的评分阈值通常低于 30。

  • 防病毒类别 - 该工件所属的防病毒或恶意软件类别。例如,特洛伊木马、蠕虫、广告软件、勒索软件、间谍软件等。

  • 防病毒系列 - 该工件所属的防病毒或恶意软件系列。例如,valyria、darkside 等。要搜索该系列的其他实例,请单击搜索图标。

分析概览
显示的信息按严重性进行排序,并包括以下属性:
  • 严重性 - 在分析工件期间检测到的活动的恶意程度,评分为 0-100。额外的图标指示可能运行该工件的操作系统。
  • 类型 - 在分析工件期间检测到的活动类型。这些类型包括:
    • 自动启动 - 能够在计算机关闭后重新启动。
    • 禁用 - 能够禁用系统的关键组件。
    • 避开 - 能够避开分析环境。
    • 文件 - 文件系统上的可疑活动。
    • 内存 - 系统内存中的可疑活动。
    • 网络 - 网络级别的可疑活动。
    • 信誉 - 已知来源或由信誉良好的组织签名。
    • 设置 - 能够永久更改关键系统设置。
    • 特征码 - 恶意主体标识。
    • 窃取 - 能够访问并可能会泄露敏感信息。
    • 隐身 - 能够不被用户注意到。
    • 静默 - 良性主体标识。
  • 描述 - 对应于在分析工件期间检测到的每种类型的活动的描述。
  • ATT&CK 策略 - 攻击的一个或多个 MITRE ATT&CK 阶段。多个策略以逗号分隔。
  • ATT&CK 技术 - 观察到恶意攻击者可能使用的操作或工具。多种技术以逗号分隔。
  • 链接 - 要搜索该活动的其他实例,请单击搜索图标。
其他工件
该部分列出在分析提交的样本期间观察到的其他工件(文件和 URL),将提交这些工件以进行深入分析。该部分包括以下属性:
  • 描述 - 描述其他工件。
  • SHA1 - 其他工件的 SHA1 哈希值。
  • 内容类型 - 其他工件的 MIME 类型。
  • 评分 - 其他工件的恶意评分。要查看关联的分析报告,请单击 分析报告图标
解码的命令行参数
如果在分析期间执行了任何 PowerShell 脚本,系统将对这些脚本进行解码,以使其参数以更便于用户阅读的形式提供。
第三方工具
该链接指向 VirusTotal 门户上有关工件的报告。