NSX Network Detection and Response 检测到的威胁由主机配置文件页面的威胁选项卡上的威胁卡表示。
威胁卡显示计算的威胁评分、威胁名称和类别、检测结果(如果可用)、威胁状态和其他操作。如果可用,将显示与该威胁相关的攻击活动。可以展开该卡以查看其相关证据。
可以使用排序依据下拉菜单对威胁卡进行排序。您可以从最近、最早、最高影响(默认)和最低影响中进行选择。
搜索威胁文本框提供了快速的即输即搜功能。它筛选列表中的行,以仅显示任何字段中的文本与您提供的查询字符串匹配的行。
可以切换显示已处理的威胁按钮以按威胁状态筛选显示的威胁卡。默认值为显示所有威胁。
管理威胁卡
威胁卡显示与选定主机关联的所有威胁及其相应的威胁级别。每个卡显示计算的威胁影响、威胁名称、威胁类别以及检测结果(如果可用)。它还显示威胁状态:待处理或已处理。
可以单击后续步骤,并从下拉菜单中选择一个操作。
选择关闭以关闭威胁。选择打开以再次打开关闭的威胁。
选择管理警示以从威胁中创建警示管理规则。
证据摘要部分包含为威胁检测到的证据和其他数据的概览。可以单击 或该卡中的几乎任何其他位置以展开证据详细信息。
如果具有与该威胁相关的攻击活动数据,则会显示攻击活动,并具有指向攻击活动摘要边栏的链接。
证据详细信息
证据列显示文件下载、特征码和其他类别的证据类型以及看到证据时的时间戳。在单击证据类型链接时,将在页面右侧显示该类型的相应证据摘要边栏。证据摘要边栏适用于以下证据类型。
异常
文件下载
签名
网络交互和网络 IOC 列显示外部主机的 IP 地址或域名。在单击该链接时,将展开网络交互边栏。
支持数据列提供检测事件的链接以及威胁详细信息的链接。
检测结果
威胁检测事件结果可能具有以下值,按严重性顺序列出。
检测结果 |
描述 |
---|---|
成功 |
已确认威胁达到其目标。这可能是已完成它的 C&C 服务器签入尝试,并从恶意端点接收了数据。 |
失败 |
威胁未达到其目标。这可能是由 C&C 服务器脱机、攻击者编码错误等引起的。 |
已阻止 |
NSX Network Detection and Response 应用程序或第三方应用程序已阻止威胁。 |
如果事件结果未知,则不会显示该字段。
网络交互边栏
在威胁选项卡的网络交互和网络 IOC 列中,您可以单击特定主机的 IP 地址或域名链接以展开网络交互边栏。
将在边栏顶部显示选定主机的影响和 IP 地址。
WHOIS 摘要
WHOIS 摘要部分显示选定 IP 地址或域名的 WHOIS 记录中的重要字段。单击 图标可访问 WHOIS 弹出窗口,了解有关 IP 地址或域的更多详细信息。有关详细信息,请参见WHOIS 弹出窗口。
打开位置
打开位置部分包含指向第三方提供程序的链接,例如 DomainTools、VirusTotal、Google 等。如果无法在视图中显示更多提供程序,您可以单击展开以查看更多信息 以查看这些提供程序。
异常证据摘要边栏
在单击威胁选项卡的“证据”列中的“异常”证据链接时,将显示“异常”证据类型的证据摘要边栏。
可以单击参考事件 以访问事件配置文件页面和关联事件的完整详细信息。
将提供证据的简要描述。
威胁详细信息
- 威胁 - 检测到的安全风险的名称。
- 威胁类别 - 检测到的安全风险类别的名称。
- 首次看到时间 最后看到时间 - 具有首次和最后看到证据时的时间戳的图表。持续时间显示在该图表下面。
检测器摘要
- 检测器名称 - 检测器的名称。
- 目标 - 检测器目标的简短描述。
- ATT&CK 分类 - 如果适用,则提供指向 MITRE ATT&CK 技术的链接。否则,显示不适用。
异常详细信息
详细信息 | 描述 |
---|---|
描述 | 异常的简要描述,以详细说明它如何偏离基准行为或应将其视为可疑的原因。 |
状态类型 | 异常的类型。例如,异常值。 |
异常 | 主机上显示的异常项。例如,访问异常端口。 |
基准项 | 在该主机上通常看到的项目。 |
配置文件创建时间 | 创建基准时的时间戳。 |
配置文件更新时间 | 检测到异常时的时间戳。 |
异常值图表 | 该图表说明了主机的正常数据上载/下载,以便与标记为异常的数据传输进行比较。可能会显示以下数据,具体取决于检测器:
|
文件下载证据摘要边栏
在单击威胁选项卡的“证据”列中的“文件下载”证据链接时,将显示“文件下载”证据类型的证据摘要边栏。
可以单击参考事件 以访问事件配置文件页面和关联事件的完整详细信息。
将提供证据的简要描述。
文件详细信息
- 文件类型 - 下载的文件的简要类型。有关文件类型列表,请参见“唯一”选项卡。
- 置信度 - 指示下载的文件确实是恶意文件的可能性。由于系统使用高级启发式方法检测未知威胁,在某些情况下,如果该特定威胁的可用信息量有限,则检测到的威胁可能具有较低的置信度值。
- SHA1 - 文件的 SHA1 哈希值。
恶意软件标识
- 防病毒类别 - 该标签定义下载的文件的防病毒类别。
- 防病毒系列 - 该标签定义下载的文件的防病毒系列。
- 恶意软件 - 该标签定义下载的文件的恶意软件类型。如果标签具有 图标,请单击该图标以在弹出窗口中查看描述。
- 行为概览 - 检测到的下载文件的行为。如果具有很多数据,则默认显示部分列表。可以单击展开以查看更多信息 以查看更多信息。可以单击折叠以查看更少信息 以再次将其关闭。
打开位置
要在特定服务中打开下载的文件,请单击提供程序的图标之一。默认情况下,这会显示部分提供程序列表。
下载详细信息
信息 | 描述 |
---|---|
文件名 | 已下载文件的资源路径。 |
URL | 下载文件的完整 URL。 |
首次看到时间 | 首次看到下载的文件时的时间戳。如果该文件具有多个实例,这将是一个时间戳范围。 |
下载源 | 源服务器的 IP 地址。 |
协议 | 用于从源服务器中传输下载的文件的协议。 |
用户代理 | 如果可用,则显示看到的下载请求的用户代理字符串。 |
特征码证据摘要边栏
在单击威胁选项卡的“证据”列中的“特征码”证据链接时,将显示“特征码”证据类型的证据摘要边栏。
可以单击参考事件 以访问事件配置文件页面和关联事件的完整详细信息。
将提供证据的简要描述。
威胁详细信息
提供了有关该威胁的以下详细信息。
详细信息 |
描述 |
---|---|
威胁 |
检测到的安全风险的名称。 |
威胁类别 |
检测到的安全风险类的名称。 |
活动 |
如果可用,则显示为该威胁检测到的当前活动。 |
置信度 |
指示检测到的威胁是恶意活动的可能性。 对于显示分析结果的事件(例如文件下载),将显示一个评分。 |
首次看到时间 最后看到时间 |
具有首次和最后看到证据时的时间戳的图表。 持续时间显示在该图表下面。 |
流量详细信息
参考事件流量小组件概述了在参考的事件中涉及的主机之间观察到的流量。事件中涉及的至少一个主机是监控的主机。通信主机可以是受监控的主机或外部系统。
箭头指示主机之间的流量方向。
对于每个主机,将显示 IP 地址。如果主机是本地主机,则地址是一个链接,您可以单击该链接以查看“主机配置文件”页面。可能会显示地理定位标记、 或 图标。可能会显示多个标记或图标。如果可用,将显示主机名。将显示应用于主机的任何主机标记。如果可用,请单击 图标以在 WHOIS 弹出窗口中查看主机详细信息。请参见WHOIS 弹出窗口以了解详细信息。
检测器摘要
显示检测器的摘要。有关更多详细信息,请单击更多详细信息 链接以查看检测器弹出窗口。请参见“检测器文档”弹出窗口以了解详细信息。
检测器名称 - 检测器的名称。
目标 - 检测器目标的简短描述。
IDS 规则 - 单击查看规则 (如果可用) 链接以显示检测器弹出窗口。请参见“检测器文档”弹出窗口以了解详细信息。它可以包含 IDS 规则。