Von NSX Network Detection and Response erkannte Bedrohungen werden auf der Registerkarte Bedrohungen der Seite Hostprofil durch Bedrohungskarten dargestellt.

Eine Bedrohungskarte zeigt die berechnete Bedrohungspunktzahl, den Bedrohungsnamen und die Klasse, das Erkennungsergebnis (sofern verfügbar), den Bedrohungsstatus und andere Aktionen an. Wenn verfügbar, wird die Aktivität angezeigt, mit der diese Bedrohung verbunden ist. Erweitern Sie die Karte, um die zugehörigen Nachweise anzuzeigen.

Verwenden Sie das Dropdown-Menü Sortieren nach, um die Bedrohungskarten zu sortieren. Sie können zwischen Jüngste, Früheste, Höchste Auswirkung (Standardeinstellung) und Geringste Auswirkung wählen.

Das Textfeld Bedrohungen suchen ermöglicht eine schnelle Suche direkt nach der Eingabe. Dabei werden die Zeilen in der Liste gefiltert, sodass nur die Zeilen angezeigt werden, die in einem beliebigen Feld Text enthalten, der mit der von Ihnen angegebenen Abfragezeichenfolge übereinstimmt.

Schalten Sie die Schaltfläche Geschlossene Bedrohungen anzeigen ein, um die angezeigten Bedrohungskarten nach dem Bedrohungsstatus zu filtern. Standardmäßig werden alle Bedrohungen angezeigt.

Verwalten der Bedrohungskarten

Die Bedrohungskarten zeigen alle Bedrohungen im Zusammenhang mit dem ausgewählten Host und ihre entsprechenden Bedrohungsstufen an. Jede Karte zeigt die berechnete Bedrohungsauswirkung, den Bedrohungsnamen, die Bedrohungsklasse und, falls verfügbar, das Erkennungsergebnis an. Außerdem wird der Status der Bedrohung angezeigt: Offen oder Geschlossen.

Klicken Sie auf Nächste Schritte und wählen Sie eine Aktion aus dem Dropdown-Menü.

  • Wählen Sie Schließen, um die Bedrohung zu schließen. Wählen Sie Öffnen, um eine geschlossene Bedrohung erneut zu öffnen.

  • Wählen Sie Warnung verwalten aus, um eine Warnungsverwaltungsregel für die Bedrohung zu erstellen.

Der Abschnitt Nachweisübersicht enthält eine Übersicht über die Nachweise und andere Daten, die für die Bedrohung erkannt wurden. Klicken Sie auf das Symbol mit dem nach rechts weisenden Pfeil oder fast überall sonst auf der Karte, um die Nachweisdetails zu erweitern.

Wenn Aktivitätsdaten im Zusammenhang mit dieser Bedrohung verfügbar sind, wird die Aktivität mit einem Link zur Seitenleiste der Aktivitätsübersicht angezeigt.

Nachweisdetails

In der Spalte Nachweis werden die Dateidownloads, Signaturen und andere Kategorien des Nachweistyps sowie ein Zeitstempel für den Zeitpunkt des Auftretens des Nachweises angezeigt. Wenn Sie auf den Link „Nachweistyp“ klicken, wird die entsprechende Seitenleiste Nachweiszusammenfassung für diesen Typ rechts auf der Seite angezeigt. Die Seitenleiste Nachweiszusammenfassung ist für die folgenden Nachweistypen verfügbar.

  • Anomalie

  • Dateidownload

  • Signatur

In der Spalte Netzwerkinteraktionen und Netzwerk-IOCs wird die IP-Adresse oder der Domänenname externer Hosts angezeigt. Wenn Sie auf den Link klicken, wird die Seitenleiste für Netzwerkinteraktion erweitert.

Die Spalte Unterstützungsdaten enthält einen Link zu den Erkennungsereignissen sowie einen Link zu den Bedrohungsdetails.

Erkennungsergebnisse

Die Ergebnisse von Bedrohungserkennungsereignissen weisen die folgenden möglichen Werte auf, die in der Reihenfolge ihres Schweregrads aufgeführt sind.

Erkennungsergebnis

Beschreibung

Erfolg

Es wurde festgestellt, dass die Bedrohung ihr Ziel erreicht hat. Dies könnte bedeuten, dass sein Anmeldeversuch beim C&C-Server abgeschlossen wurde und Daten vom böswilligen Endpoint empfangen wurden.

Fehlgeschlagen

Die Bedrohung konnte ihr Ziel nicht erreichen. Dies kann darauf zurückzuführen sein, dass der C&C-Server offline ist, der Angreifer Codierungsfehler gemacht hat usw.

Blockiert

Die Bedrohung wurde von der NSX Network Detection and Response-Anwendung oder von einer Drittanbieteranwendung blockiert.

Wenn das Ereignisergebnis unbekannt ist, wird dieses Feld nicht angezeigt.

Seitenleiste für Netzwerkinteraktion

Sie erweitern die Netzwerkinteraktion-Seitenleiste, indem Sie in der Spalte Netzwerkinteraktionen und Netzwerk-IOCs der Registerkarte Bedrohungen auf den Link IP-Adresse oder Domänenname für einen bestimmten Host klicken.

Die Auswirkungen und die IP-Adresse des ausgewählten Hosts werden oben in der Seitenleiste angezeigt.

WHOIS-Übersicht

Im Abschnitt WHOIS-Übersicht werden Schlüsselfelder aus dem WHOIS-Datensatz für die ausgewählte IP-Adresse oder den ausgewählten Domänennamen angezeigt. Klicken Sie auf das Symbol Whois-Symbol, um auf das Popup-Fenster WHOIS zuzugreifen, um weitere Details zur IP-Adresse oder Domäne anzuzeigen. Einzelheiten dazu finden Sie unter WHOIS-Popup-Fenster.

Öffnen in

Der Öffnen in... Abschnitt enthält Links zu Drittanbietern wie DomainTools, VirusTotal, Google usw. Wenn es mehr Anbieter gibt, als in die Ansicht passen, können Sie auf Erweitern Pfeil nach unten klicken, um sie anzuzeigen.

Übersicht der Anomalie-Nachweise in der Seitenleiste

Die Seitenleiste Nachweisübersicht für den Beweistyp „Anomalie“ wird angezeigt, wenn Sie in der Spalte „Nachweis“ der Registerkarte Bedrohungen auf den Link für einen Anomalie-Nachweis klicken.

Klicken Sie auf Referenzereignis Pfeil nach rechts , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.

Eine kurze Beschreibung der Nachweise wird bereitgestellt.

Bedrohungsdetails

Die folgenden Details zu der Gefährdung werden bereitgestellt.
  • Bedrohung – Name des erkannten Sicherheitsrisikos.
  • Bedrohungsklasse – Name der erkannten Sicherheitsrisikoklasse.
  • Zuerst gesehen bidirektionales Pfeilsymbol für Array Zuletzt gesehen – Ein Diagramm mit dem Zeitstempel, wann der Nachweis zuerst und zuletzt gesehen wurde. Die Dauer wird unterhalb des Diagramms angezeigt.

Übersicht zum Detektor

Es wird eine Übersicht über den Detektor angezeigt. Klicken Sie für weitere Details auf den Link Weitere Details Pfeil nach rechts, um das Detektor-Pop-Up-Fenster anzuzeigen. Einzelheiten dazu finden Sie unter Popup-Fenster der Detektor-Dokumentation.
  • Detektorname – Der Name des Detektors.
  • Ziel – Kurze Beschreibung des Ziels des Detektors.
  • ATT&CK-Kategorisierung – Sofern zutreffend, wird ein Link zur MITRE ATT&CK-Technik bereitgestellt. Andernfalls wird N/A angezeigt.

Anomaliedetails

Details zur Anomalie werden bereitgestellt.
Detail Beschreibung
Beschreibung

Eine kurze Beschreibung der Anomalie, die angibt, wie sie vom Baseline-Verhalten abweicht oder warum sie als verdächtig betrachtet werden sollte.
Zustandstyp

Der Typ der Anomalie. Zum Beispiel: Ausreißer.
Anomalie

Das anomale Element, das auf dem Host beobachtet wurde. Beispiel: Zugriff auf einen ungewöhnlichen Port.
Baselineelemente

Die Elemente, die typischerweise auf diesem Host beobachtet werden.
Profil erstellt um

Zeitstempel für die Erstellung der Baseline.
Profil aktualisiert um

Zeitstempel zum Zeitpunkt der Erkennung der Anomalie.
Ausreißerdiagramm

Das Diagramm veranschaulicht den normalen Daten-Upload/Download für den Host zum Vergleich mit der Datenübertragung, die als anomal gekennzeichnet wurde. Je nach Detektor können die folgenden Daten angezeigt werden

  • Die Upload-/Download-Größe, die zur Auslösung der Anomaliewarnung geführt hat.

  • Die maximale Upload-/Download-Größe, bevor die Anomaliewarnung ausgelöst wurde.

  • Die durchschnittliche Upload-/Download-Größe für den Host.

Seitenleiste „Nachweisübersicht“ für Dateidownload

Die Seitenleiste Nachweisübersicht für einen „Dateidownload“-Nachweistyp wird angezeigt, wenn Sie auf den Link für den Nachweis eines Dateidownloads in der Spalte „Nachweise“ der Registerkarte Bedrohungen klicken.

Klicken Sie auf Referenzereignis Pfeil nach rechts , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.

Eine kurze Beschreibung der Nachweise wird bereitgestellt.

Dateidetails

Die folgenden Details zur Datei werden bereitgestellt.
  • Dateityp – Der allgemeine Typ der heruntergeladenen Datei. Eine Liste der Dateitypen finden Sie unter Registerkarte „Eindeutig“.
  • Konfidenz – Gibt die Wahrscheinlichkeit an, dass die heruntergeladene Datei böswillig ist. Da das System erweiterte Heuristiken verwendet, um unbekannte Bedrohungen zu erkennen, kann die erkannte Bedrohung in einigen Fällen einen niedrigeren Konfidenzwert haben, wenn die Menge der für diese spezifische Bedrohung verfügbaren Informationen begrenzt ist.
  • SHA1 – Der SHA1-Hash der Datei.

Malware-Identifikation

Eine Übersicht über die erkannte Malware wird angezeigt. Klicken Sie für weitere Details auf den Link Analysebericht Pfeil nach rechts, um den Analysebericht anzuzeigen. Weitere Informationen finden Sie unter Verwenden des Analyseberichts.
  • Antivirusklasse – Eine Bezeichnung, die die Antivirusklasse der heruntergeladenen Datei definiert.
  • Antivirusfamilie – Eine Bezeichnung, die die Antivirusfamilie der heruntergeladenen Datei definiert.
  • Malware – Eine Bezeichnung, die den Malware-Typ der heruntergeladenen Datei definiert. Wenn die Bezeichnung über das Symbol Tag-Symbol verfügt, klicken Sie auf das Symbol, um die Beschreibung in einem Popup-Fenster anzuzeigen.
  • Verhaltensübersicht – Das erkannte Verhalten der heruntergeladenen Datei. Wenn viele Daten vorhanden sind, wird standardmäßig eine Teilliste angezeigt. Klicken Sie auf ErweiternSymbol mit nach unten weisendem Pfeil , um weitere Details anzuzeigen. Schalten Sie die Option erneut um, indem Sie auf WenigerSymbol mit nach oben weisendem Pfeil klicken.

Öffnen in ...

Um die heruntergeladene Datei in einem bestimmten Dienst zu öffnen, klicken Sie auf eines der Symbole für die Anbieter. Standardmäßig wird hier eine Teilliste der Anbieter angezeigt.

Details herunterladen

Die Details der heruntergeladenen Datei werden angezeigt. Klicken Sie für weitere Details auf den Link Analysebericht Symbol mit nach rechts weisendem Pfeil, um den Analysebericht anzuzeigen. Weitere Informationen finden Sie unter Verwenden des Analyseberichts.
Info Beschreibung
Dateiname Der Ressourcenpfad zur heruntergeladenen Datei.
URL

Die vollständige URL zur heruntergeladenen Datei.
Erste Erkennung

Der Zeitstempel, wann die heruntergeladene Datei zum ersten Mal angeezeigt wurde. Wenn mehrere Instanzen dieser Datei vorhanden sind, ist dies ein Bereich von Zeitstempeln.
Heruntergeladen von

Die IP-Adresse des Quellservers.
Protokoll

Das Protokoll, das zum Übertragen der heruntergeladenen Datei vom Quellserver verwendet wurde.
Benutzer-Agent

Falls verfügbar, wird die Zeichenfolge des Benutzer-Agent für die Downloadanforderung angezeigt.

Seitenleiste für die Nachweiszusammenfassung von Signaturen

Die Seitenleiste Nachweiszusammenfassung für den Nachweistyp „Signatur“ wird angezeigt, wenn Sie in der Spalte „Nachweis“ der Registerkarte Bedrohungen auf den Link „Signatur“ klicken.

Klicken Sie auf Referenzereignis Pfeil nach rechts , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.

Eine kurze Beschreibung der Nachweise wird bereitgestellt.

Bedrohungsdetails

Die folgenden Details werden zu der Bedrohung bereitgestellt.

Detail

Beschreibung

Bedrohung

Name des erkannten Sicherheitsrisikos.

Bedrohungsklasse

Name der erkannten Sicherheitsrisikoklasse.

Aktivität

Zeigt, falls vorhanden, die erkannte aktuelle Aktivität der Bedrohung an.

Konfidenz

Gibt die Wahrscheinlichkeit an, dass die erkannte Bedrohung böswillig ist.

Bei Ereignissen, bei denen Analyseergebnisse angezeigt werden, z. B. bei einem Dateidownload, wird eine Punktzahl angezeigt.

Erste Erkennung

bidirektionales Pfeilsymbol für Array

Letzte Erkennung

Ein Diagramm mit dem Zeitstempel, wann der Nachweis zum ersten und letzten Mal angezeigt wurde.

Die Dauer wird unterhalb des Diagramms angezeigt.

Datenverkehrsdetails

Das Widget Referenzereignis-Datenverkehr bietet einen Überblick über den beobachteten Datenverkehr zwischen den an dem referenzierten Ereignis beteiligten Hosts. Mindestens ein an dem Ereignis beteiligter Host ist ein überwachter Host. Der kommunizierende Host kann ein überwachter Host oder ein externes System sein.

Der Pfeil gibt die Datenverkehrsrichtung zwischen den Hosts an.

Für jeden Host wird die IP-Adresse angezeigt. Bei einem lokalen Host wird die Adresse als Link angezeigt, auf den Sie klicken können, um die Hostprofilseite anzuzeigen. Möglicherweise wird ein Geostandort-Flag, Startseiten-Symbol, oder Netzwerksymbol Symbol angezeigt. Es können mehrere angezeigt werden. Falls verfügbar, wird ein Hostname angezeigt. Alle auf den Host angewendeten Host-Tags werden angezeigt. Wenn verfügbar, klicken Sie auf das Symbol Symbol für Globus – Amerika, um die Hostdetails im Popup-Fenster WHOIS anzuzeigen. Weitere Informationen finden Sie unter WHOIS-Popup-Fenster.

Übersicht zum Detektor

Es wird eine Übersicht über den Detektor angezeigt. Klicken Sie für weitere Details auf den Link Weitere Details Pfeil nach rechts, um das Detektor-Pop-Up-Fenster anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation.

  • Detektorname – Der Name des Detektors.

  • Ziel – Kurze Beschreibung des Ziels des Detektors.

  • IDS-Regel: Klicken Sie auf den Link Regel anzeigen (falls verfügbar), um das Detektor-Popup-Fenster anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation. Sie kann eine IDS-Regel enthalten.