熟悉用于 NSX Network Detection and Response 功能的以下重要术语。
| 术语 | 定义 |
|---|---|
| 攻击活动 | 在一段时间内影响一个或多个工作负载的一组相关事件集。 |
| 事件 | 表示在监控的网络中发生的安全相关活动。一个事件可能涉及多个数据流(例如 TCP 连接),但它表示短时间内在一对特定的 IP 地址之间发生的单一类型的活动。多个事件自动汇总为事件集。 |
| 事件集 | 表示在监控的网络中发生的安全相关活动。事件集可能包含单个事件,也可能包含已自动汇总为事件集的多个事件。 |
| 感染 | 已确定为严重的事件集。应立即处理感染。 |
| 滋扰 | 低风险事件集。这通常对应于可能不需要/有风险的活动,但不一定表示监控的网络受到破坏或发生感染。将跟踪滋扰,因为它们有助于了解更全面的网络状况。 |
| 事件影响评分 | 为 NSX Network Detection and Response 功能检测到的事件计算的总体影响评分。评分范围是 0-100,其中 100 是最危险的检测。将使用以下事件影响级别。
|
| 观察列表 | 已确定为中等风险的事件集。虽然表明存在潜在的风险,但不需要立即关注此类事件集。将密切观察这些事件集,以防出现改变其状态的新证据。 例如,涉及无法正常运行的命令和控制基础架构的事件集将列入观察列表。 |
