检测(也称为检测事件或事件)表示在网络中发生并由 NSX Network Detection and Response 检测出的安全相关活动。检测支持威胁分类和调查,具体方法是对 NSX 环境内所有威胁事件(无论事件类型如何)进行分析。
当 NSX Network Detection and Response 系统收到新的检测数据时,会将这些数据与现有检测事件进行比较,以确定新的检测是否可与现有检测事件汇总在一起。有关如何汇总检测的详细信息,请参见检测汇总。
可以将检测事件关联在一起以形成攻击活动。如果检测事件与任何其他检测均没有关联,则不会将其包含在任何攻击活动中。
查看统一事件列表
要查看 NSX Network Detection and Response 生成的所有检测事件,请导航到页面。此页面在页面顶部提供了一个条形图,并在该条形图下方提供了一个列表。该列表称为统一事件列表,其中显示了所有检测事件。列表中的每一行表示一个检测事件。
- 单击页面右上角的复制 URL,以复制链接地址以及当前应用的筛选器。
筛选统一事件列表
您可以使用以下方法筛选统一事件列表:
| 方法 | 详细信息 |
|---|---|
| 复选框 | 单击条形图上方的复选框,以根据检测的检测影响评分筛选统一事件列表。 有关检测影响评分的详细信息,请参见关于检测影响评分。
|
| 条形图 | 单击条形图中的条形,以根据检测中确定的 MITRE ATT&CK 策略筛选统一事件列表。
|
| 筛选器字段 | 单击筛选器字段以显示更强大的筛选选项:
|
查看检测事件摘要
展开检测行,然后单击更多详细信息以查看检测摘要。
检测类型
可以在类型列中查看检测类型图标。悬停鼠标以查看检测类型。
导出和下载数据包捕获文件
从检测摘要的
流量数据选项卡中,可以导出和下载由
NSX IDS/IPS 捕获的 PCAP(数据包捕获)文件。有关 PCAP 的更多详细信息,请参见
导出和下载数据包捕获文件。
注: PCAP 文件可用于东西向 IDS/分布式 IDS/IPS 事件,前提是在 IDS 配置文件中启用了 PCAP。如果 PCAP 文件不可用,则不会显示此链接。此外,
NSX 和
NSX 应用程序平台 版本都必须为 4.2 或更高版本。
恶意软件行为概览
恶意软件行为部分提供对与事件相关的恶意软件实例执行的动态分析中的信息。
单击查看报告可以访问有关恶意软件执行的操作、其运行方式,以及产生的风险类型的详细深入的技术信息。有关显示的信息的更多信息,请参见分析报告详细信息。
注: 如果未检测到事件的恶意软件,则不会显示该部分。
