Die NSX Suspicious Traffic-Funktion generiert aus den erfassten Flow-Daten des Netzwerkdatenverkehrs Analysen zu Netzwerkbedrohungen und meldet die erkannten verdächtigen Ereignisse auf der Seite Erkennungsereignisse. Sie können die Erkennungsereignisse entweder in einem Blasendiagramm, in einem Raster oder in beidem anzeigen.

Voraussetzungen

Verwalten von Erkennungsereignissen

Wenn Sie zu Sicherheit > Verdächtiger Datenverkehr > Erkennungsereignisse navigieren, werden die Erkennungsereignisse standardmäßig sowohl in einem Blasendiagramm als auch in einem Raster angezeigt, wie in der folgenden Abbildung dargestellt. In der Tabelle, die dem Bild folgt, werden die nummerierten Abschnitte beschrieben, die im Bild hervorgehoben sind.


Ein Screenshot der Registerkarte Erkennungsereignisse auf der Benutzeroberflächenseite „Verdächtiger Datenverkehr“. Wichtige Bereiche der Benutzeroberfläche sind durch nummerierte Markierungen auf dem Bild hervorgehoben. Diese Markierungen werden in der Tabelle im Anschluss an das Bild beschrieben.

Abschnitt

Beschreibung

1

Gibt die Gesamtzahl der Erkennungen verdächtiger Ereignisse an, die das NSX Suspicious Traffic-Funktion während des ausgewählten Zeitraums gemeldet hat.

2

In diesem Abschnitt wählen Sie den Zeitraum aus, den das System verwendet, um zu bestimmen, welche historischen Daten zu den erkannten Ereignissen von NSX Suspicious Traffic auf dieser Seite der Benutzeroberfläche gemeldet werden. Der Zeitraum ist relativ zum aktuellen Zeitpunkt und umfasst einen bestimmten Zeitraum in der Vergangenheit. Der Standardzeitraum ist Letzte 1 Stunde. Um den ausgewählten Zeitraum zu ändern, klicken Sie auf den aktuell ausgewählten Zeitraum und wählen im Dropdown-Menü einen anderen aus. Die verfügbaren Optionen sind Letzte 1 Stunde, Letzte 12 Stunden, Letzte 24 Stunden, Letzte 1 Woche, Letzte 2 Wochen und Letzter 1 Monat.

3

Die Umschaltoption Diagramm bestimmt, ob das Blasendiagramm angezeigt wird. Wenn die Umschaltoption Diagramm deaktiviert ist, werden Informationen über die Erkennungsereignisse nur im Raster angezeigt. Standardmäßig ist die Umschaltoption auf Ein gestellt.

4

Wenn die NSX Network Detection and Response-Funktion aktiviert ist, wird bei der Anzeige der NSX Suspicious Traffic-Benutzeroberfläche das AnwendungsstartsymbolAnwendungsstartsymbol in der oberen rechten Ecke der Benutzeroberfläche angezeigt.

Um weitere Details zu den erkannten anomalen Ereignissen über die NSX Network Detection and Response-Benutzeroberfläche anzuzeigen, klicken Sie auf das Anwendungsstart-Symbol und wählen Sie NSX Network Detection and Response aus. Klicken Sie in der NSX Network Detection and Response-Benutzeroberfläche erneut auf das Anwendungsstart-Symbol und wählen Sie NSX-T aus, um zur NSX Suspicious Traffic-Benutzeroberfläche zurückzukehren.

5

Dieses Blasendiagramm bietet eine visuelle Zeitleiste, die zeigt, wann die erkannten Ereignisse während des ausgewählten Zeitraums aufgetreten sind. Jedes Ereignis wird basierend auf dem Schweregrad des Erkennungsereignisses dargestellt. Im Folgenden sind die Schweregradkategorien und die entsprechenden Schweregradwerte aufgeführt.

  • Kritisch: 75-100
  • Hoch: 50-74

  • Mittel: 25-49

  • Niedrig: 0-24

6

Mit dem Filterbereich können Sie die Erkennungsereignisse eingrenzen, die für den ausgewählten Zeitraum angezeigt werden. Klicken Sie auf Erkennungsereignisse filtern und wählen Sie aus dem Dropdown-Menü die Filter aus, die Sie anwenden möchten, sowie bestimmte Elemente in dem zusätzlich angezeigten Dropdown-Menü. Zu den verfügbaren Filtern gehören die folgenden.

  • Konfidenzbewertung – Die Bewertung, die das System anhand der proprietären Algorithmen, die die NSX Suspicious Traffic-Funktion verwendet, zuweist, je nachdem, wie sicher es ist, dass ein Ereignis anomal ist.

  • Detektor – Ein Sensor zur Erkennung von anomalen Ereignissen im Datenverkehrsflow Ihres Netzwerks. Ein Detektor ist einer einzelnen MITRE ATT&CK-Kategorie oder -Technik zugeordnet.

  • Auswirkungspunktzahl – Eine Punktzahl, die von einem proprietären Algorithmus berechnet wird, der eine Kombination aus der Konfidenzbewertung für das Erkennungsereignis und dessen Schweregrad verwendet, wenn es korrekt erkannt wurde.

  • Taktiken – Stellen den Grund dar, warum ein Angreifer eine Aktion unter Verwendung einer ATT&CK-Taktik ausführt.

  • Techniken – Darstellung der Art und Weise, wie ein Angreifer versucht, ein taktisches Ziel seines Angriffs mithilfe bestimmter Techniken/Subtechniken zu erreichen.

  • VMs – Die VMs, die an den erkannten Ereignissen im ausgewählten Zeitraum beteiligt waren.

7

Klicken Sie auf Legende um die verschiedenen Arten von Blasen aufzulisten, die im Blasendiagramm angezeigt werden können. In der folgenden Liste werden die einzelnen Blasen und die Art des Erkennungsereignisses, das sie darstellen, beschrieben.

  • Persistenz – Der Angreifer versucht, seine Kontrolle über die Systeme in Ihrem Netzwerk aufrechtzuerhalten.

  • Zugang mit Anmeldedaten – Der Angreifer versucht, Kontonamen und Kennwörter zu stehlen.

  • Erkennung – Der Angreifer versucht, mehr über Ihre Netzwerkumgebung zu erfahren.

  • Befehl und Steuerung – Der Angreifer versucht, mit den gefährdeten Systemen zu kommunizieren und die Kontrolle über sie zu erlangen.

  • Lateral Movement – Ein Angreifer versucht, sich in Ihrer Netzwerkumgebung zu bewegen.

  • Erfassung – Ein Angreifer versucht, Informationen zu sammeln, die ihm bei der Verwirklichung seines Ziels behilflich sein könnten.

  • Exfiltration – Der Angreifer versucht, Daten aus Ihrem Netzwerk zu entwenden.

  • Andere – Der Detektor kann keiner spezifischen Taktik zugeordnet werden, wie sie im MITRE ATT&CK Framework definiert ist.

  • Mehrere Ereignisse – Mehr als ein Erkennungsereignis trat im selben Zeitsegment auf. Wenn Sie den Schieberegler für das Zeitfenster nach rechts bewegen, ändert sich der Umfang der angezeigten Blasen. So lässt sich eine Blase „Mehrere Ereignisse“ in mehrere und andere Arten von Blasen aufteilen.

8

Jede Blase im Diagramm stellt ein Erkennungsereignis oder mehrere Ereignisse dar, die während des ausgewählten Zeitraums aufgetreten sind. Die Farbe oder Art der Blase repräsentiert die Taktik, die der Angreifer während des entdeckten Angriffs verwendet hat. Weitere Informationen finden Sie in den Beschreibungen in der Legende.

9

Mit dem Schieberegler für das Zeitfenster können Sie Erkennungsereignisse anzeigen, die innerhalb einer Teilmenge des ausgewählten Zeitraums aufgetreten sind. Der blau hervorgehobene Bereich entspricht der Darstellung im Blasendiagramm. Je weiter Sie den Schieberegler nach rechts oder links bewegen, desto aktueller wird das Blasendiagramm mit den Erkennungsereignissen, die in dem durch den Schieberegler hervorgehobenen Zeitraum aufgetreten sind. Wenn es Erkennungsereignisse gibt, die etwa zur gleichen Zeit aufgetreten sind, werden diese durch eine Blase Mehrere Ereignisse dargestellt. Wenn Sie den Schieberegler nach rechts bewegen, werden Sie feststellen, dass sich die Blase Mehrere Ereignisse in mehrere Blasen erweitert, die die verschiedenen Erkennungsereignisse darstellen, die in diesem Zeitraum aufgetreten sind.

10

Das Raster zeigt Informationen zu jedem Erkennungsereignis an, das die NSX Suspicious Traffic-Funktion während des ausgewählten Zeitraums identifiziert hat. Wenn sie nicht erweitert ist, werden in einer Zeile die folgenden wichtigen Ereignisdaten angezeigt.

  • Auswirkung – Die Auswirkungspunktzahl, die die NSX Suspicious Traffic-Funktion für das Erkennungsereignis berechnet hat

  • Schweregrad – Gibt an, wie schwerwiegend das Ereignis ist. Mögliche Werte sind „Niedrig“, „Mittel“, „Hoch“ und „Kritisch“. Diese Werte entsprechen den im Blasendiagramm verwendeten Werten.

  • Erkennungszeit – Das Datum und die Uhrzeit, zu dem/der das Ereignis erkannt wurde.

  • Detektor – Der Name des Detektors, den die NSX Suspicious Traffic-Funktion zur Erkennung des Ereignisses verwendet hat. Wenn Sie auf den Namen des Detektors klicken, werden in einem Dialogfeld zusätzliche Informationen zu diesem Detektor angezeigt, z. B. sein Ziel, die ATT&CK-Kategorie und eine Zusammenfassung des Detektors. Der Abschnitt ATT&CK-Kategorie enthält einen Link zur MITRE ATT&CK-Website, auf der Sie weitere Details zu der im Erkennungsereignis verwendeten ATT&CK-Kategorie finden.

  • Typ – Listet die im Erkennungsereignis verwendete Taktik und Technik auf.

  • Betroffene Objekte – Listet die von dem Erkennungsereignis betroffenen Quell-VMs und Ziel-VMs auf.

Der Beispiel-Screenshot zeigt auch eine erweiterte Zeile. Wenn eine Zeile erweitert wird, werden zusätzliche Ereignisinformationen angezeigt. Die Details umfassen eine Zusammenfassung des erkannten Ereignisses und eine Erläuterung für die Visualisierung oder zusätzliche Ereignisdaten, die in der erweiterten Zeile angezeigt werden. Im obigen Screenshot wird in der erweiterten Zeile beispielsweise eine Zusammenfassung des erkannten Ereignisses und eine Erläuterung der Visualisierung angezeigt. Nicht alle erkannten Ereignisse werden visuell dargestellt. Für andere werden nur zusätzliche detaillierte Daten angezeigt.

11

In einer erweiterten Zeile können auch ein oder mehrere Links in der unteren rechten Ecke angezeigt werden. Wenn Sie auf einen Link klicken, gelangen Sie zu einer anderen Seite der Benutzeroberfläche, auf der weitere Informationen über das erkannte Ereignis bereitgestellt werden. Im Folgenden sind die verfügbaren Links aufgeführt, sofern sie für das Erkennungsereignis zutreffen.

Der folgende Link kann aktiviert sein, auch wenn die NSX Network Detection and Response-Funktion nicht aktiviert ist.

  • Betroffene VMs und ihren aktuellen Datenverkehr anzeigen - Wenn Sie auf diesen Link klicken, zeigt das System die Visualisierungsfläche auf der Registerkarte Planen und Fehler beheben an. Es zeigt die Recheneinheiten an, die an dem Erkennungsereignis beteiligt waren. Weitere Informationen hierzu finden Sie unter Arbeiten mit der Ansicht „Berechnungen“.

Wenn die NSX Network Detection and Response-Anwendung aktiviert ist, können auch die folgenden Links verfügbar sein, sofern sie für das Ereignis zutreffen.

  • Aktivität – Wenn der NSX Advanced Threat Prevention-Cloud-Dienst dieses Erkennungsereignis als Teil einer Aktivität identifiziert hat, ist dieser Link aktiviert. Wenn Sie auf den Link klicken, werden auf der Seite Aktivitäten der NSX Network Detection and Response-Benutzeroberfläche Details zur Aktivität angezeigt. Weitere Informationen hierzu finden Sie unter Verwalten der Seite „Aktivitäten“.

  • Ereignisdetails – Wenn Sie auf diesen Link klicken, wird eine neue Browserregisterkarte geöffnet und weitere Details zum Erkennungsereignis werden auf der Seite Ereignisprofil der NSX Network Detection and Response-Benutzeroberfläche angezeigt. Weitere Informationen hierzu finden Sie unter Arbeiten mit der Seite „Ereignisse“.