攻击活动页面显示任何检测到的攻击活动的攻击活动卡。攻击活动卡显示计算的威胁评分、攻击活动名称(攻击活动 ID)、NSX Network Detection and Response 应用程序检测到的最新攻击阶段、受影响的主机数量、不同威胁的数量以及攻击活动状态。
管理攻击活动卡
您可以单击排序依据下拉菜单,然后从条件列表中进行选择以对攻击活动卡进行排序:影响(默认)、阶段、主机、威胁、最新或最近活动。
单击状态下拉菜单,然后从全部显示(默认)、待处理、正在进行、完成或已更新中进行选择,以选择要显示的攻击活动卡。您可以选择多个选项。可以再次单击该选项以清除选择内容。
要查看有关攻击活动的所有可用详细信息,请单击攻击活动 ID 链接,将显示有关攻击活动的详细信息。请参见了解“攻击活动详细信息”页面。
单击攻击活动卡上的任意位置,将在右侧显示攻击活动摘要边栏。
了解“攻击活动摘要”边栏
在单击攻击活动卡上的任意位置时,将在攻击活动页面右侧显示攻击活动摘要边栏。
下面介绍了您在攻击活动摘要边栏上看到的内容。
顶部部分
- 在顶部显示计算的威胁评分和攻击活动名称/ID(采用长哈希值格式)。
- 在单击查看详细信息按钮时,您可以访问攻击活动详细信息页面。有关详细信息,请参见 了解“攻击活动详细信息”页面。
- 显示受攻击活动影响的主机数量。
- 显示攻击活动中涉及的威胁类型数量。
操作
- 攻击活动名称/攻击活动 ID - 您可以单击铅笔图标,并选择编辑攻击活动名称/ID。
- 状态 - 从下拉菜单中选择攻击活动的分类状态。从待处理、正在进行、已更新或完成中选择。
- “首次看到时间”和“最后看到时间”- 显示具有首次和最后看到证据时的时间戳的线性图。持续时间显示在该图表后面。
看到的攻击阶段
看到的攻击阶段部分显示攻击阶段,以突出显示当前攻击活动的攻击阶段。指向突出显示的活动(例如,漏洞利用),以查看包含有关该阶段的更多信息的弹出窗口。有关详细信息,请参见关于攻击阶段。
受影响的主机
受影响的主机部分显示在选定攻击活动中涉及的主机。要查看主机配置文件页面,请单击 IP 地址链接。请参见“主机配置文件”页面。
要在主机选项卡上查看有关主机的详细信息,请单击查看主机。有关详细信息,请参见 攻击活动详细信息:“主机”选项卡。
威胁
威胁部分显示在选定攻击活动中检测到的当前威胁。颜色代码表示威胁的严重性:红色表示高严重性,黄色表示中严重性,蓝色表示低严重性。
要在攻击活动时间线选项卡上查看有关攻击活动的详细信息,请单击查看威胁。有关详细信息,请参见 攻击活动详细信息:“时间线”选项卡。