在攻击活动的攻击活动详细信息页面中的时间线选项卡上,NSX Network Detection and Response 检测到的威胁由威胁卡表示。
威胁卡显示连接到该威胁的主机、计算的威胁评分、威胁名称和类别、检测结果(如果可用)、威胁状态和其他操作。要查看其相关证据,请单击
图标以展开该卡,如下图所示。可以单击
图标以折叠“证据”部分。
可以使用排序依据下拉菜单对威胁卡进行排序。请从最近(默认)、最早、最高影响和最低影响中进行选择。
该列表上面的搜索威胁文本框提供了快速的即输即搜功能。它筛选列表中的行,以仅显示任何字段中的文本与查询字符串匹配的行。您的查询与以下类别中的值相匹配:影响、IP 地址、威胁/恶意软件、最新攻击活动阶段、首次看到时间、证据和其他主机以及邮件信息(对于邮件)。
要按威胁状态筛选显示的威胁卡,请切换显示已处理的威胁按钮。默认值为显示所有威胁。
威胁卡
威胁卡显示与选定攻击活动关联的所有威胁及其相应的威胁级别。
每个卡显示计算的威胁影响、威胁名称、威胁类别以及检测结果(如果可用)。它还显示威胁状态:OPEN
或CLOSED
。
您可以单击后续步骤,然后从下拉菜单中选择一个操作。选择关闭以关闭威胁,选择打开以重新打开关闭的威胁,或选择管理警示以从威胁中创建警示管理规则。
证据摘要部分包含为威胁检测到的证据和其他数据的概览。可以单击 图标(或该卡中的几乎任何其他位置)以展开“证据详细信息”部分。
证据详细信息
证据列显示文件下载、特征码和其他类别以及看到证据时的时间戳。
网络交互和网络 IOC 列显示外部主机的 IP 地址或域名。可以单击 IP 地址链接以展开网络交互边栏。
支持数据列提供检测到的事件的链接、捕获的数据的链接以及威胁详细信息的链接。