NSX Network Detection and Response 应用程序提供了一种筛选机制,以使您专注于感兴趣的特定主机信息。使用筛选器是可选的。

过程

  1. 主机页面中,单击 加号图标以显示详细信息 以展开筛选器小组件。
  2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

    您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

    筛选器名称

    描述

    攻击活动 UUID

    按攻击活动 UUID 限制显示的条目。这是一个 32 字符的十六进制字符串,例如 7dabc0fc9b3f478a850e1089a923df3a

    或者,输入 null 字符串以选择不属于任何攻击活动的记录。

    本地网络

    按本地网络设置限制显示的条目。从下拉菜单中选择仅本地网络仅未识别的网络

    主机 IP

    将显示的条目限制为特定的源 IP 地址、IP 地址范围或 CIDR 块。在文本框中输入值。

    存在威胁的主机

    按“存在威胁的主机”状态限制显示的条目。从下拉菜单中选择仅存在威胁的主机所有主机

    优先级

    按优先级状态限制显示的条目。从下拉菜单中选择感染观察列表滋扰

    阅读

    按阅读状态限制显示的条目。从下拉菜单中选择已读未读

    状态

    按状态限制显示的条目。从下拉菜单中选择已处理待处理

    威胁

    按特定威胁限制显示的条目。从下拉菜单中选择一种威胁。该菜单预填充了一组分类的威胁。

    使用菜单顶部的搜索功能快速找到威胁名称。

    威胁类别

    将显示的条目限制为特定类别的威胁。从下拉菜单中选择威胁类别。该菜单预填充了一组类别,下面列出了其中的一些类别。可以使用菜单顶部的搜索功能快速找到类别名称。

    • 广告软件:向感染的计算机显示或下载广告的恶意软件。

    • 点击欺诈:点击欺诈的目标是点击付费在线广告。

    • 命令和控制:感染的计算机属于机器人程序网络,攻击者可以远程控制该计算机。

    • 网页木马:攻击者尝试利用计算机上的漏洞,以便在目标系统上安装其他恶意软件。

    • 漏洞利用工具包:检测尝试进行网页木马下载攻击的漏洞利用工具包。

    • 伪造 AV:伪造的防病毒软件或其他类型的流氓安全软件,旨在欺骗或误导您的用户。

    • 不活动 C&C:该特定机器人程序网络的命令和控制服务器处于不活动状态。

    • 恶意文件下载、恶意软件分发和恶意软件下载:IP 地址或域托管恶意可执行文件。

    • 沉洞:沉洞由合法组织运营,因此,它不会构成威胁。不过,尝试连接到此类主机的主机可能会被感染。

    • 间谍软件:尝试窃取敏感信息的恶意软件。

    • 可疑 DNS:可疑的 DNS 域是指,感染的计算机上运行的恶意软件连接到的域。我们的专有技术能够主动将这些域识别为恶意域。

    • 未知:检测到未知的安全风险。

  3. 要应用选定的筛选器,请单击应用
  4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 关闭图标 图标。

    在删除所有选定的筛选器时,将折叠筛选器小组件。