攻击活动详细信息页面中的概览选项卡显示攻击活动摘要和交互式蓝图。

以下信息描述了该选项卡上的三个部分。

攻击活动威胁和主机

威胁和主机部分显示威胁主机小组件。

威胁小组件显示 NSX Network Detection and Response 应用程序在选定攻击活动中检测到的当前威胁。威胁严重性由颜色代码表示:红色表示高,黄色表示中,蓝色表示低。指向列出的威胁名称,弹出窗口将显示受影响的主机的 IP 地址。单击查看威胁详细信息时间线选项卡将显示有关攻击活动的详细信息。

主机小组件显示受选定攻击活动影响的主机。威胁严重性由颜色代码表示:红色表示高,黄色表示中,蓝色表示低。

指向受影响的主机的 IP 地址,弹出窗口将显示影响该主机的威胁的名称。单击查看主机详细信息主机选项卡将显示有关主机的详细信息。

攻击活动的攻击阶段

攻击阶段小组件显示攻击阶段,以突出显示当前攻击活动的攻击阶段。指向突出显示的活动,弹出窗口将显示有关攻击阶段的更多信息。请参见攻击活动属性以了解有关攻击阶段的详细信息。

攻击活动蓝图

攻击活动蓝图小组件提供攻击活动的交互式图表表示形式。它显示攻击活动中涉及的主机(您的网络内部和外部)、影响它们的威胁以及提供攻击活动描述的其他信息。

以下是一个蓝图示例。
由周围内容描述的示例入侵图表

该蓝图显示以下活动。

  • 将一个恶意二进制文件下载到标签为 172.30.4.99 的主机节点中。该活动与该主机上的用户打开电子邮件(例如,访问 URL 或打开该电子邮件中包含的附件)相一致。

  • 标签为 172.30.4.99 的主机节点连接到标签为 kharkiv.biz.ua 的主机节点。分析报告 3958ec33 显示从 URL http://kharkiv.biz.ua/hPpD/ 进行了下载。分析报告还显示下载了一个 PE executable application, 32-bit, Intel i386 文件。

  • 标签为 172.30.4.99 的主机节点连接到一个 Emotet command and control。服务器是阻止的条目 75.112.62.42

  • 标签为 172.30.4.99 的主机节点连接到标签为 172.30.6.2 并具有可疑数据上载的主机节点,以及连接到标签为 172.30.5.200172.30.5.200 并具有可疑远程任务计划的主机节点,所有活动都与横向移动关联。

  • 标签为 172.30.6.2 的主机节点连接到标签为 172.30.5.200 并具有可疑 Kerberos 加密的主机节点,该活动与数据外泄相一致。

节点键

可能会在蓝图中显示以下节点类型。

图标

节点类型

描述

分析图标

分析报告

该节点类型表示在 NSX Network Detection and Response 沙箱中引爆样本(文件或 URL)的结果。

  • 分析报告节点是使用相应分析任务 UUID 的缩写版本标记的。

  • 分析运行的评分范围是使用节点右上角的颜色编码标志表示的。
下载的文件图标

下载的文件

该节点类型表示在网络中下载的文件。

  • 下载的文件节点是使用相应文件的 SHA1 哈希值缩写版本标记的。
主机图标

主机

此节点类型表示网络设备。

  • 主机节点是使用相应主机的 IP 地址标记的。

  • 主机节点指示主机是内部主机还是外部主机。内部主机在其 IP 地址旁边显示一个 本地图标 图标。主机是否为内部主机是根据专用 IP 范围配置确定的。

  • 影响相应主机的事件集的最大影响是使用节点右上角的颜色编码标志表示的。
信息图标

信息

该节点类型表示检测的信息级活动。该节点仅显示在网络分析蓝图中。

  • 如果存在的活动或行为不一定是恶意的,但提供额外的有用信息,则会创建信息事件。

  • 为相应威胁检测到的事件的最大影响是使用节点右上角的颜色编码标志表示的。
威胁图标

威胁

该节点类型表示检测。

  • 威胁节点是使用与检测到的事件关联的威胁名称标记的。

  • 为相应威胁检测到的事件的最大影响是使用节点右上角的颜色编码标志表示的。

关于边

连接节点的线称为边。

主机节点以虚线连接到威胁或分析报告节点,以表示与该主机节点对应的主机受到威胁或分析报告节点表示的威胁。

其他连接以实线表示,以表示某些活动(例如,网络连接、DNS 查找或 Web 请求)将与两个节点对应的实体相关联。

蓝图交互

蓝图是交互式的:支持项目选择、节点移动以及放大和缩小。

可以单击以选择节点和边:可以在边栏中找到有关选定项目的其他信息。

如果将鼠标悬停在节点上,则会为连接边添加颜色以突出显示该节点的交互。

可以将各个节点拖到图表上的新位置。可以平移整个图表,这实际上改变了视角。

可以滚动鼠标滚轮以放大和缩小图表。在较高的缩放级别,将显示更多详细信息。特别是,对于用于为多种节点类型提供影响信息的标志,可以使用实际影响评分为其提供补充。

攻击活动边栏

攻击活动边栏用于显示与蓝图的一个或多个元素相关的信息。默认情况下,该边栏将最小化。

  • 单击 详细信息图标 图标以查看节点或边信息。

  • 单击 外部链接图标 图标以查看第三方工具。

要最小化该边栏,请单击 右箭头图标 图标。

节点或边信息

节点/边信息选项卡提供有关蓝图中的选定节点或边的其他信息。要选择一个节点,请在图表中单击其图标。

节点类型

信息

分析报告

有关分析报告的其他信息。

报告详细信息:

  • 分析报告 - 显示任务 UUID 和评分。可以单击 链图标 图标以在新的浏览器选项卡中查看分析报告。

  • MD5 - 文件哈希值。

  • SHA1 - 文件哈希值。

  • 大小 - 文件大小,以字节为单位。

  • 类别 - 分析的文件所属的类别。

  • 类型 - 有关文件的更详细信息。

分析的样本的观察详细信息:

  • 下载次数 - 观察到下载分析的文件的次数。

  • 主机 - 下载分析的文件的主机的 IP 地址。

  • URL - 下载的文件的完整 URL。

下载的文件

有关下载的文件的其他信息

文件详细信息:

  • MD5 - 文件哈希值。

  • SHA1 - 文件哈希值。

  • 大小 - 文件大小,以字节为单位。

  • 类别 - 分析的文件所属的类别。

  • 类型 - 有关文件的更详细信息。

观察详细信息:

  • 下载次数 - 观察到下载分析的文件的次数。

  • 下载主机 - 下载分析的文件的主机的 IP 地址。

  • URL - 下载的文件的完整 URL。

  • 报告 - 显示报告状态、任务 UUID 和评分。可以单击 链图标 图标以在新的浏览器选项卡中查看分析报告。

主机

有关主机的其他信息。

主机级详细信息:

  • IP 地址 - 地理定位地图或本地网络图标。

  • 主机名 - 主机的域名。

  • 服务 - 在主机上检测到的任何服务。

涉及主机的事件集:

  • 事件集数 - 所有事件集的计数。

  • 最大影响 - 指示所有事件集的最大影响。

  • 威胁 - 检测到的事件列表。

注释指示主机是在监控的网络内部还是外部

HTTP 请求

有关 HTTP 请求的其他信息。

URL 详细信息:

  • 下载 URL - 在 HTTP 请求中观察到的 URL。

  • 下载 IP - 为 HTTP 请求解析的 IP 地址。可以单击 网络分析图标 图标以在网络分析中查看请求 IP 地址。

请求详细信息

  • 请求数 - 观察到 HTTP 请求的次数。

  • 主机 - 发出 HTTP 请求的主机的 IP 地址。

  • 来源地址 - 在 HTTP 请求中观察到的“referer”标头值。

  • 用户代理 - 在 HTTP 请求中观察到的 User-agent 值。

威胁

有关威胁的其他信息。

威胁详细信息:

  • 威胁类别 - 检测到的威胁类别的名称。例如,命令和控制

  • 威胁 - 检测到的威胁的名称。例如,Loki Bot

  • 严重性 - 计算的威胁评分。

  • 信息 - 检测到的威胁的描述。

在单击一条边时,将显示有关连接的以下信息:

  • 源节点 - 连接的源。这可以是节点名称、IP 地址、域名等。

  • 目标节点 - 连接的目标。这可以是节点名称、IP 地址、域名等。

源节点目标节点下面是连接的实际源或目标。单击 展开图标 图标以展开源或目标。

第三方工具

“第三方工具”选项卡链接到外部工具,这些工具可能提供有关图表中的选定实体的其他信息。目前,支持的工具是 DomainToolsVirusTotal

支持以下搜索:

  • 通过选择主机节点,您可以在 DomainTools 和 VirusTotal 上搜索相应的 IP 地址。

  • 通过选择主机节点,您可以在 DomainTools 和 VirusTotal 上搜索相应的域名。

  • 通过选择下载的文件节点,您可以在 VirusTotal 上搜索相应的哈希。

  • 通过选择 HTTP 请求节点,您可以在 DomainTools 和 VirusTotal 上搜索请求的主机名。