1

Gibt die Gesamtzahl der Erkennungen verdächtiger Datenverkehrsereignisse an, die die NSX Suspicious Traffic-Funktion während des ausgewählten Zeitraums gemeldet hat.

2

In diesem Abschnitt wählen Sie den Zeitraum aus, den das System verwendet, um zu bestimmen, welche historischen Daten zu den erkannten Ereignissen von NSX Suspicious Traffic auf dieser Seite der Benutzeroberfläche gemeldet werden. Der Zeitraum ist relativ zum aktuellen Zeitpunkt und umfasst einen bestimmten Zeitraum in der Vergangenheit. Der Standardzeitraum ist Letzte 1 Stunde. Um den ausgewählten Zeitraum zu ändern, klicken Sie auf den aktuell ausgewählten Zeitraum und wählen im Dropdown-Menü einen anderen aus. Die verfügbaren Optionen sind Letzte 1 Stunde, Letzte 12 Stunden, Letzte 24 Stunden, Letzte 1 Woche, Letzte 2 Wochen und Letzter 1 Monat.

3

Die Umschaltoption Diagramm bestimmt, ob das Blasendiagramm angezeigt wird. Wenn die Umschaltoption Diagramm deaktiviert ist, werden Informationen zu verdächtigen Datenverkehrsereignissen nur im Raster angezeigt. Standardmäßig ist die Umschaltoption auf Ein gestellt.

4

Wenn die NSX Network Detection and Response-Funktion aktiviert ist, wird bei der Anzeige der NSX Suspicious Traffic-Benutzeroberfläche das Anwendungsstartsymbol in der oberen rechten Ecke der Benutzeroberfläche angezeigt.

Um weitere Details zu den erkannten anomalen Ereignissen über die NSX Network Detection and Response-Benutzeroberfläche anzuzeigen, klicken Sie auf das und wählen Sie NSX Network Detection and Response aus. Klicken Sie auf der NSX Network Detection and Response-Benutzeroberfläche erneut auf das Anwendungsstart-Symbol und wählen Sie NSX aus, um zur NSX Suspicious Traffic-Benutzeroberfläche zurückzukehren.

5

Dieses Blasendiagramm bietet eine visuelle Zeitleiste, die zeigt, wann die erkannten Ereignisse während des ausgewählten Zeitraums aufgetreten sind. Jedes Ereignis wird basierend auf dem Schweregrad des verdächtigen Datenverkehrsereignisses dargestellt. Im Folgenden sind die Schweregradkategorien und die entsprechenden Schweregradwerte aufgeführt.

6

Mit dem Filterbereich können Sie die verdächtigen Datenverkehrsereignisse eingrenzen, die für den ausgewählten Zeitraum angezeigt werden. Klicken Sie auf Ereignisse filtern und wählen Sie aus dem Dropdown-Menü die Filter aus, die Sie anwenden möchten, sowie bestimmte Elemente in dem angezeigten sekundären Dropdown-Menü. Zu den verfügbaren Filtern gehören die folgenden.

• Konfidenzbewertung – Die Bewertung, die das System anhand der proprietären Algorithmen, die die NSX Suspicious Traffic-Funktion verwendet, zuweist, je nachdem, wie sicher es ist, dass ein Ereignis anomal ist.

• Detektor – Ein Sensor zur Erkennung von anomalen Ereignissen im Datenverkehrsfluss Ihres Netzwerks. Ein Detektor ist einer einzelnen MITRE ATT&CK-Kategorie oder -Technik zugeordnet.

• Auswirkungsbewertung – Eine Punktzahl, die von einem proprietären Algorithmus berechnet wird, der eine Kombination aus der Konfidenzbewertung für das verdächtige Datenverkehrsereignis und dessen Schweregrad verwendet, wenn es korrekt erkannt wurde.

• Taktiken – Stellen den Grund dar, warum ein Angreifer eine Aktion unter Verwendung einer ATT&CK-Taktik ausführt.

• Techniken – Darstellung der Art und Weise, wie ein Angreifer versucht, ein taktisches Ziel seines Angriffs mithilfe bestimmter Techniken/Subtechniken zu erreichen.

• VMs – Die VMs, die an den erkannten Ereignissen im ausgewählten Zeitraum beteiligt waren.

7

Klicken Sie auf Legende um die verschiedenen Arten von Blasen aufzulisten, die im Blasendiagramm angezeigt werden können. In der folgenden Liste werden die einzelnen Blasen und die Art des verdächtigen Datenverkehrsereignisses, das sie darstellen, beschrieben.

• Persistenz – Der Angreifer versucht, seine Kontrolle über die Systeme in Ihrem Netzwerk aufrechtzuerhalten.

• Zugang mit Anmeldedaten – Der Angreifer versucht, Kontonamen und Kennwörter zu stehlen.

• Erkennung – Der Angreifer versucht, mehr über Ihre Netzwerkumgebung zu erfahren.

• Befehl und Steuerung – Der Angreifer versucht, mit den gefährdeten Systemen zu kommunizieren und die Kontrolle über sie zu erlangen.

• Lateral Movement – Ein Angreifer versucht, sich in Ihrer Netzwerkumgebung zu bewegen.

• Erfassung – Ein Angreifer versucht, Informationen zu sammeln, die ihm bei der Verwirklichung seines Ziels behilflich sein könnten.

• Exfiltration – Der Angreifer versucht, Daten aus Ihrem Netzwerk zu entwenden.

• Andere – Der Detektor kann keiner spezifischen Taktik zugeordnet werden, wie sie im MITRE ATT&CK Framework definiert ist.

• Mehrere Ereignisse – Mehr als ein verdächtiges Datenverkehrsereignis trat im selben Zeitsegment auf. Wenn Sie den Schieberegler für das Zeitfenster nach rechts bewegen, ändert sich der Umfang der angezeigten Blasen. So lässt sich eine Blase „Mehrere Ereignisse“ in mehrere und andere Arten von Blasen aufteilen. Wenn Sie auf eine Blase „Mehrere Ereignisse“ klicken, wird die Liste aller Ereignisse in einem Wegweiser angezeigt. Wenn Sie auf eine Zeile in der Tabelle im Wegweiser klicken, gelangen Sie zur entsprechenden Zeile der Blase in der Tabelle unten.

8

Jede Blase im Diagramm stellt ein verdächtiges Datenverkehrsereignis oder mehrere Ereignisse dar, die während des ausgewählten Zeitraums aufgetreten sind. Die Farbe oder Art der Blase repräsentiert die Taktik, die der Angreifer während des entdeckten Angriffs verwendet hat. Weitere Informationen finden Sie in den Beschreibungen in der Legende.

9

Mit dem Schieberegler für das Zeitfenster können Sie verdächtige Datenverkehrsereignisse anzeigen, die innerhalb einer Teilmenge des ausgewählten Zeitraums aufgetreten sind. Der blau hervorgehobene Bereich entspricht der Darstellung im Blasendiagramm. Je weiter Sie den Schieberegler nach rechts oder links bewegen, desto aktueller wird das Blasendiagramm mit den verdächtigen Datenverkehrsereignissen, die in dem durch den Schieberegler hervorgehobenen Zeitraum aufgetreten sind. Wenn es verdächtige Datenverkehrsereignisse gibt, die etwa zur gleichen Zeit aufgetreten sind, werden diese durch eine Blase Mehrere Ereignisse dargestellt. Wenn Sie den Schieberegler nach rechts bewegen, werden Sie feststellen, dass sich die Blase Mehrere Ereignisse in mehrere Blasen erweitert, die die verschiedenen verdächtigen Datenverkehrsereignisse darstellen, die in diesem Zeitraum aufgetreten sind.

10

Das Raster zeigt Informationen zu jedem verdächtigen Datenverkehrsereignis an, das die NSX Suspicious Traffic-Funktion während des ausgewählten Zeitraums identifiziert hat. Wenn sie nicht erweitert ist, werden in einer Zeile die folgenden wichtigen Ereignisdaten angezeigt.

• Auswirkung – Die innerhalb des Sechsecks angezeigte Zahl ist die Auswirkungsbewertung, die die NSX Suspicious Traffic-Funktion für das verdächtige Datenverkehrsereignis berechnet hat. Die Auswirkungsbewertung ist die Kombination aus der Konfidenz für das Ereignis (Konfidenzbewertung) und dem Ausmaß der Bedrohung (Schweregrad-Punktzahl), sofern sie ordnungsgemäß erkannt wird. Wenn Sie über das Sechsecksymbol fahren, wird eine QuickInfo mit der Konfidenzbewertung und der Schweregrad-Punktzahl angezeigt. Die Farbe des Sechsecks und der Text neben dem Sechseck sind zwei weitere Darstellungen derselben Auswirkungsbewertung. Die Auswirkungsbewertungen sind wie folgt definiert.

  • Eine Auswirkungsbewertung von 75 bis 100 wird durch ein rot umrandetes Sechseck mit dem Text Kritisch dargestellt.
  • Eine Auswirkungsbewertung von 50 bis 74 wird durch ein orange umrandetes Sechseck mit dem Text Hoch dargestellt.
  • Eine Auswirkungsbewertung von 25 bis 49 wird durch ein gelb umrandetes Sechseck mit dem Text Mittel dargestellt.
  • Eine Auswirkungsbewertung von 0 bis 24 wird durch ein grau umrandetes Sechseck mit dem Text Niedrig dargestellt.

• Erkennungszeit – Das Datum und die Uhrzeit, zu dem/der das Ereignis erkannt wurde.

• Detektor – Der Name des Detektors, den die NSX Suspicious Traffic-Funktion zur Erkennung des Ereignisses verwendet hat. Wenn Sie auf den Namen des Detector klicken, werden in einem Dialogfeld weitere Informationen zu diesem Detector angezeigt, z. B. sein Ziel, die ATT&CK-Kategorie und eine Zusammenfassung des Detector. Der Abschnitt ATT&CK-Kategorie enthält einen Link zur MITRE ATT&CK-Website, auf der Sie weitere Details zu der im verdächtigen Datenverkehrsereignis verwendeten ATT&CK-Kategorie finden.

• Typ – Listet die im verdächtigen Datenverkehrsereignis verwendete Taktik und Technik auf.

• Betroffene Objekte – Listet die von dem verdächtigen Datenverkehrsereignis betroffenen Quell-VMs und Ziel-VMs auf.

Der Beispiel-Screenshot zeigt auch eine erweiterte Zeile. Wenn eine Zeile erweitert wird, werden weitere Ereignisinformationen angezeigt. Die Details umfassen eine Zusammenfassung des erkannten Ereignisses und eine Erläuterung für die Visualisierung oder weitere Ereignisdaten, die in der erweiterten Zeile angezeigt werden. Im obigen Screenshot wird in der erweiterten Zeile beispielsweise eine Zusammenfassung des erkannten Ereignisses und eine Erläuterung der Visualisierung angezeigt. Nicht alle verdächtigen Datenverkehrsereignisse werden visuell dargestellt. Für andere werden nur weitere detaillierte Daten angezeigt.

11

In einer erweiterten Zeile können auch ein oder mehrere Links in der unteren rechten Ecke angezeigt werden. Wenn Sie auf einen Link klicken, gelangen Sie zu einer anderen Seite der Benutzeroberfläche, auf der weitere Informationen über das erkannte Ereignis bereitgestellt werden. Im Folgenden sind die verfügbaren Links aufgeführt, sofern sie für das verdächtige Datenverkehrsereignis zutreffen.

Der folgende Link kann aktiviert sein, auch wenn die NSX Network Detection and Response-Funktion nicht aktiviert ist.

• Betroffene VMs und ihren aktuellen Datenverkehr anzeigen - Wenn Sie auf diesen Link klicken, zeigt das System die Visualisierungsfläche auf der Registerkarte Planen und Fehler beheben an. Es zeigt die Recheneinheiten an, die an dem verdächtigen Datenverkehrsereignis beteiligt waren. Weitere Informationen hierzu finden Sie unter Arbeiten mit der Ansicht „Berechnungen“ in NSX Intelligence.

Wenn die NSX Network Detection and Response-Anwendung aktiviert ist, können auch die folgenden Links verfügbar sein, sofern sie für das Ereignis zutreffen.

• Aktivität – Wenn der NSX Advanced Threat Prevention-Cloud-Dienst dieses verdächtige Datenverkehrsereignis als Teil einer Aktivität identifiziert hat, ist dieser Link aktiviert. Wenn Sie auf den Link klicken, werden auf der Seite Aktivitäten der NSX Network Detection and Response-Benutzeroberfläche Details zur Aktivität angezeigt. Weitere Informationen finden Sie im Thema „Verwalten der Kampagnenseite“ im Abschnitt NSX Network Detection and Response des Sicherheitskapitels des Administratorhandbuch für NSX. Administratorhandbuch für NSX Version 3.2 und höher finden Sie in der VMware NSX-Dokumentation.

• Ereignisdetails – Wenn Sie auf diesen Link klicken, wird eine neue Browserregisterkarte geöffnet und weitere Details zum verdächtigen Datenverkehrsereignis werden auf der Seite Ereignisprofil der NSX Network Detection and Response-Benutzeroberfläche angezeigt. Weitere Informationen finden Sie im Thema „Arbeiten mit der Ereignisseite“ im Abschnitt NSX Network Detection and Response des Sicherheitskapitels des Administratorhandbuch für NSX. Administratorhandbuch für NSX Version 3.2 und höher finden Sie in der VMware NSX-Dokumentation.