可以通过事件摘要边栏顶部的详细信息 
按钮访问事件配置文件页面。
在视图顶部具有很多控件和按钮:
可以单击类似的事件以查看类似功能的下拉列表。单击每个选项旁边的
图标以选择目标、目标端口、源 IP、传输协议、威胁类别和威胁类型。然后单击查看事件 
以在新的选项卡中查看选定的事件。可以单击管理警示以启动管理警示边栏。可以使用该功能禁止或降级无害的事件(例如系统测试或阻止事件),或将自定义评分应用于特定的事件。请参见使用“管理警示”边栏以了解详细信息。
可以单击
图标以折叠所有字段,或单击 
图标以展开所有字段。
事件概览
该顶部部分提供 NSX Network Detection and Response 应用程序检测到的威胁或恶意软件的可视概览,并显示威胁类别和威胁影响评分。
事件摘要
事件摘要部分解释 NSX Network Detection and Response 应用程序标记该事件的原因,确定与该事件关联的威胁或恶意软件,简要描述检测到的活动并显示支持数据。
如果可以从 NSX Advanced Threat Prevention 云服务中获取,则在事件摘要部分顶部显示事件的详细解释以及将其视为恶意事件的原因。
服务器阻止
“服务器阻止”显示以下数据。
数据 |
描述 |
|---|---|
主机名 |
如果可用,则显示服务器的 FQDN。 |
IP 地址 |
服务器的 IP 地址。可能会显示地理定位标记。如果具有 如果可用,请单击 如果可用,请单击 |
MAC 地址 |
如果可用,则显示服务器的 MAC 地址。该地址是通过监控 DHCP 流量获取的,它是系统用于生成唯一主机 ID 条目的数据点之一,该条目映射到网络中的特定主机,而与其 IP 地址无关。 |
图标,请单击该链接以在
图标以查看客户端的信誉标记。
图标,以便在 客户端阻止
客户端块显示以下数据。
数据 |
描述 |
|---|---|
主机名 |
如果可用,则显示客户端的 FQDN。 |
IP 地址 |
客户端的 IP 地址。可能会显示地理定位标记。如果可用,请单击地址或 如果可用,请单击 如果可用,请单击 |
MAC 地址 |
如果可用,则显示客户端的 MAC 地址。该地址是通过监控 DHCP 流量获取的,它是系统用于生成唯一主机 ID 条目的数据点之一,该条目映射到网络中的特定主机,而与其 IP 地址无关。 |
事件元数据
“事件元数据”部分显示以下数据。
数据 |
描述 |
|---|---|
验证结果 |
指示事件结果。以下是可能的值。
如果事件结果未知,则不会显示该字段。 |
验证程序名称 |
事件验证程序的名称。请单击该链接以访问验证程序文档弹出窗口。 |
验证程序消息 |
来自验证程序的消息,它提供有关结果的其他信息,例如,哪个第三方应用程序阻止了威胁。 |
传感器 |
检测到事件的传感器。 |
连接 |
事件中包含的连接数。 |
操作 |
传感器执行的操作列表(例如,任何阻止活动、是否记录事件、是否捕获流量或提取恶意软件下载)。 |
登录用户 |
在记录中检测到的用户列表。 |
结果 |
事件的结果。在大多数情况下,结果是检测。 对于信息事件以及从信息状态升级的事件,一个额外的标签提供其状态/状态变化的原因。如果将鼠标悬停在该标签上,将显示一个弹出窗口以提供有关原因的其他详细信息。 |
相关事件集 |
指向相关事件集的永久链接。在单击 该事件可能是已自动与事件集关联中的很多密切相关事件之一。 |
事件 ID |
在网络事件详细信息页面中查看事件。将在新的浏览器选项卡中打开该链接。 |
开始时间 |
事件开始时的时间戳。 |
结束时间 |
事件结束时的时间戳。 |
捕获的恶意软件
“捕获的恶意软件”部分提供对与事件相关的恶意软件实例执行的动态分析中的信息。
您可以访问有关恶意软件执行的操作、其运行方式以及产生的风险类型的详细深入的技术信息。有关显示的信息的更多信息,请参见使用分析报告。
如果未检测到事件的恶意软件,则不会显示该部分。
事件证据
主机信誉
“主机信誉”部分提供有关在事件中看到的已知恶意主机或 URL 信誉条目的信息。
如果主机没有已知历史记录,则不会显示该部分。
异常数据
该部分显示导致引发异常事件的 Netflow 或被动 DNS 记录。
它将命名为 DNS 异常数据或 Netflow 异常数据,具体取决于看到的异常。
可能会提供其他信息,例如已划分为异常的 IP 地址或端口。如果涉及大量项目,您可以单击 
以显示所有项目。
如果未发现事件异常,则不会显示该部分。
威胁描述
“威胁描述”部分提供与事件关联的威胁的详细描述。
缓解
“缓解”部分提供有关移除任何恶意软件的详细说明,以及在发生事件后进行清理的其他建议过程。
如果事件没有已知的缓解过程,则不会显示该部分。
