NSX Network Detection and Response 提供了一种筛选机制,以使您专注于感兴趣的下载文件的特定信息。使用筛选器是可选的。

过程

  1. 下载的文件页面中,单击 加号图标 以展开筛选器小组件。
  2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

    您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

    筛选器名称

    描述

    分析标记

    按分析标记限制显示的文件。这些是系统分析为文件或 URL 分配的标签。它们可以标识威胁或威胁类别,或引用检测到的特定恶意行为。

    分析人员 UUID

    将显示的文件限制为下载的文件的系统分析 UUID。这是用于分析文件的内部唯一标识符。

    应用程序协议

    将显示的文件限制为通过指定的协议之一传输的文件。支持的值包括 HTTP/HTTPS、FTP 和 SMB。

    已连接的 IP

    将显示的文件限制为从中下载文件的 IP 地址。与主机 IP 筛选器一样,它支持 IP 地址、CIDR 块或 IP 地址范围。

    文件类型筛选器

    将显示的文件限制为一种或多种简要文件类型。请参见文件类型列表(上面)。

    文件

    可以选择恶意以将显示的文件限制为恶意文件。系统分析为这些文件分配了 70 或更高的评分(满分 100)。

    主机 IP

    将显示的文件限制为网络中下载文件的主机的 IP 地址。此筛选器支持选择一个或多个 IP 地址、CIDR 块(例如,192.168.0.0/24)或 IP 地址范围(例如,192.168.1.5-192.168.1.9)。

    HTTP 主机

    将显示的文件限制为从中下载文件的主机名。

    注:

    该值是从下载文件的 HTTP 请求的 HTTP 主机标头中提取的。因此,它受客户端的控制,并可能会受到恶意软件的欺骗,例如,已在感染的主机上运行的恶意软件二进制文件。

    MD5

    将显示的文件限制为下载的文件的 MD5 哈希值。

    最低评分

    将显示的文件限制为系统分析分配的评分大于您选择的值 (1-100) 的文件。
  3. 要应用选定的筛选器,请单击应用
  4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 X 图标。

    在删除所有选定的筛选器时,将折叠筛选器小组件。