事件集表示 NSX Network Detection and Response 检测到在监控的网络中发生的安全相关活动。事件集可能包含单个事件或多个已自动关联且确定为密切相关的事件。事件集列表显示注册的事件集及其相应的威胁级别。
您可以查看在您的网络中报告的所有事件集:已确定为严重的事件集、应关注的事件集或被视为滋扰的事件集。必须立即处理严重事件集。未处理严重事件集是非常危险的,并增加了您的网络中的其他主机也受到破坏的可能性。
您尚未检查的事件集标记为未读,而已检查的事件集标记为已读。您可以选择事件集并对它们执行操作,例如将它们标记为已读或未读。您还可以关闭或打开选定的事件集。
该列表上面的快速搜索文本框提供了快速的即输即搜功能。它筛选列表中的行,以仅显示任何字段中的文本与查询字符串匹配的行。
可以使用选择下拉菜单微调选择内容。您可以通过该菜单的选项选择所有可见的事件集或清除选择内容。您还可以选择已读 (当前页面) 或未读 (当前页面) 事件集。您也可以单击标题行中的编辑图标以选择所有可见的消息。
可以使用操作下拉菜单更新选定的事件集:标记为已读、标记为未读、关闭或打开。
自定义要显示的行数。默认值为 20 个条目。可以使用 
和 
图标以浏览多个页面。
可以单击额外的内容图标以自定义要在列表中显示的列。
每一行是一个事件集的摘要。可以单击加号图标(或条目行中的任意位置)以访问事件集详细信息。要选择一个消息行,请单击编辑图标。
该列表按影响排序并包括以下列。
列 |
描述 |
|---|---|
主机 |
受该事件集影响的主机。该列显示主机的 IP 地址、主机名或标签,具体取决于当前的“显示设置”弹出窗口。 单击 单击 |
检测事件 |
构成该事件集的事件数。这是一个链接,它显示事件计数和 可以单击 |
开始 |
事件集的开始时间。 可以单击 |
结束 |
事件集的结束时间。 可以单击 |
威胁 |
检测到的安全风险的名称。 可以单击 |
威胁类别 |
检测到的安全风险类的名称。 可以单击 排序 图标以按威胁类别对列表进行排序。 |
影响 |
影响值指示检测到的威胁的严重程度,范围是 1 到 100:
如果显示停止图标,这表示已阻止该工件。 该列表按影响降序进行排序(最严重的事件集位于顶部)。可以单击 |
图标以查看
图标以按主机信息对列表进行排序。
图标以按升序对列表进行排序(最不严重的事件集位于顶部),然后单击 
图标以切换回默认设置。事件集详细信息
在单击事件集行中的任意位置时,将在事件集列表中展开“事件集详细信息”视图。
在事件集详细信息顶部具有很多按钮:
-
单击
按钮以关闭事件集。 -
使用操作下拉菜单对事件集执行操作:
-
如果事件集尚未关闭,请选择关闭事件集
。否则,选择打开事件集。 -
如果尚未阅读事件集,请选择标记为已读。否则,选择标记为未读。
-
选择忽略威胁。将在菜单项中列出威胁详细信息。如果选择该项,则表示对主机上存在该特定威胁不感兴趣。因此,将会自动关闭在该主机上检测到该威胁的所有事件集。
-
选择将主机 <host> 标记为已清理。系统将事件集中涉及的主机标记为已清理。因此,将关闭该主机上的所有事件集。
-
-
如果单击
查看事件集详细信息,将在新的浏览器选项卡中显示事件集配置文件页面内容。 -
单击管理警示将启动管理警示边栏。可以使用该功能禁止或降级与指定事件集关联的无害事件,例如系统测试或阻止相关事件集。有关更多详细信息,请参见 使用“管理警示”边栏。
-
单击
标记为已读以标记事件集。该按钮将切换到标记为未读,以使您能够恢复其阅读状态。
事件集摘要
顶部部分提供检测到的威胁的可视概览,并显示其影响评分。
事件集详细信息
| 列 | 描述 |
|---|---|
| 源 IP | 事件集源的 IP 地址。可以单击 图标以查看主机的活动页面;单击  图标以在网络分析页面中查看源。 |
| 源主机 | 如果可用,则显示事件集源的 FQDN。 |
| 事件 | 构成该事件集的事件数。 |
| 事件集 ID | 指向事件集配置文件页面的永久链接。将在新的浏览器选项卡/窗口中打开该链接。 |
| 攻击活动 ID | 指向攻击活动页面的永久链接。将在新的浏览器选项卡中打开该链接。 |
| 影响 | 系统为该事件集应用的影响评分。 |
| 开始时间 | 事件集开始时的时间戳。 |
| 结束时间 | 事件集的最后记录事件的时间戳。 |
| 状态 | 显示是否已关闭事件集。 |
证据
展开的证据小组件显示 NSX Network Detection and Response 检测到的事件列表。
可以单击 
图标以自定义要在列表中显示的列。
| 列 | 描述 |
|---|---|
| 首次看到时间 | 首次看到该事件时的时间戳。 |
| 最后看到时间 | 最后看到该事件时的时间戳。 |
| 威胁 | 检测到的安全风险的名称。 |
| 威胁类别 | 检测到的安全风险类的名称。 |
| 影响 | 应用于该事件集的影响评分。 |
| 证据 | 该事件集的证据类别。证据详细信息块的标题是从类别名称获取的。 |
| 主体 | 要分析的工件,通常是一个文件。 |
| 引用 | 指向事件页面的永久链接。将在新的浏览器选项卡中打开该链接。 |
证据详细信息
单击 
图标(或事件集条目行中的任意位置)以显示证据详细信息块。
证据详细信息块的标题是从证据类型获取的。例如,信誉证据。
| 数据 | 描述 |
|---|---|
| 威胁 | 检测到的安全风险的名称。 |
| 威胁类别 | 检测到的安全风险类的名称。 |
| 影响 | 应用于该事件集的影响评分。 |
| 检测器 | 如果存在,则显示查找威胁的 NSX Network Detection and Response 模块。单击该链接以查看“检测器”弹出窗口。请参见“检测器文档”弹出窗口。 |
| 查看网络事件 | 指向事件页面的永久链接。将在新的浏览器选项卡中打开该链接。 |
| 查看网络事件 | 指向事件页面的永久链接。将在新的浏览器选项卡中打开该链接。 |
| 首次看到时间 | 首次看到该事件时的时间戳。 |
| 最后看到时间 | 最后看到该事件时的时间戳。 |
| 严重性 | 评估检测到的威胁的严重程度。例如,到命令和控制服务器的连接通常被视为高严重性,因为该连接可能具有破坏性。 |
| 置信度 | 指示检测到的单个威胁确实是恶意活动的可能性。由于系统使用高级启发式方法检测未知威胁,在某些情况下,如果该特定威胁的可用信息量有限,则检测到的威胁可能具有较低的置信度值。 |
| 主体 | 如果存在,则显示要分析的工件,通常是一个文件。 |
有关其他详细信息,请参见关于证据。
