检测事件小组件概述了 NSX Network Detection and Response 应用程序检测到的各个事件。
事件表示在监控的网络中发生的安全相关活动。一个事件可能涉及多个数据流(例如 TCP 连接),但它表示在短时间(最多 1 小时)内发生的单一类型的活动。
如果选定的时间范围包括今天(默认),则该小组件每 5 分钟更新一次其事件列表。新事件以绿色突出显示;在几秒钟后,颜色逐渐消失。
该列表上面的快速搜索字段提供了快速的即输即搜功能。它筛选列表中的行,以仅显示任何字段中的文本与查询字符串匹配的行。
可以单击立即更新按钮以手动刷新事件列表。
自定义要显示的行数。默认情况下,将显示 30 个条目。最多可以显示 1000 个事件,但在系统检索大量事件时,可能会出现明显的延迟。可以使用 
和 
图标浏览多个页面。
每一行显示一个事件的摘要。可以单击条目行中的任意位置以访问事件摘要边栏。
事件列表包含以下列。
列名称 |
描述 |
|---|---|
时间戳 |
表示事件的开始时间。时间以当前选择的时区显示。 该列表按时间戳进行排序,默认按降序进行排序(最新的事件位于顶部)。您可以使用图标按升序对列表进行排序(最早的事件位于顶部)或切换回默认设置。 可以单击 |
主机 |
此事件中所涉及的受监控网络中的主机。该列将显示主机的 IP 地址、主机名或标签,具体取决于当前的显示设置。可以单击主机旁边的编辑图标以打开标记主机/将主机静默弹出窗口。 |
其他 IP |
与此事件相关的主机的 IP 地址和端口。例如,203.0.113.115:80 表示在端口 80 上连接到 IP 地址 203.0.113.115。 系统尝试对 IP 地址进行地理定位。如果成功,则显示一个小旗图标,以指示可能托管该 IP 地址的国家/地区。本地网络图标用于本地主机。 |
其他主机 |
恶意/可疑条目的主机名或 IP 地址。 |
威胁 |
检测到的威胁或安全风险的名称。 |
威胁类别 |
检测到的威胁类的名称。 |
影响 |
影响值指示检测到的威胁的严重程度,范围是 1 到 100:
如果显示 可以单击 |
图标以按时间戳对列表进行排序。
图标,这表示已阻止该工件。