Das Widget Erkennungsereignisse bietet einen Überblick über die einzelnen Ereignisse, die die NSX Network Detection and Response-Anwendung erkannt hat.

Ein Ereignis stellt eine sicherheitsrelevante Aktivität dar, die im überwachten Netzwerk aufgetreten ist. Ein Ereignis kann mehrere Datenflüsse umfassen (z. B. TCP-Verbindungen), stellt aber einen einzelnen Aktivitätstyp dar, der über einen kurzen Zeitraum (höchstens eine Stunde) stattfindet.

Wenn der ausgewählte Zeitraum heute (Standardeinstellung) enthält, aktualisiert das Widget seine Ereignisliste alle 5 Minuten. Neue Ereignisse werden grün hervorgehoben. Die Farbe verschwindet nach einigen Sekunden.

Das Feld Schnellsuche über der Liste bietet eine schnelle, von Ihnen eingegebene Suche. Es filtert die Zeilen in der Liste und zeigt nur die Zeilen an, die in einem beliebigen Feld Text enthalten, der mit der Abfragezeichenfolge übereinstimmt.

Aktualisieren Sie die Ereignisliste manuell, indem Sie auf die Schaltfläche Jetzt Update durchführen klicken.

Passen Sie die Anzahl der Zeilen an, die angezeigt werden sollen. Standardmäßig werden 30 Einträge angezeigt. Es können bis zu 1000 Ereignisse angezeigt werden. Es kann jedoch zu einer erheblichen Verzögerung für das System führen, wenn eine große Anzahl von Ereignissen abgerufen wird. Verwenden Sie das Symbol Pfeil nach links und das Symbol Pfeil nach rechts, um durch mehrere Seiten zu navigieren.

Jede Zeile zeigt eine Zusammenfassung eines Ereignisses an. Klicken Sie auf eine beliebige Stelle in einer Eingabezeile, um auf die Seitenleiste Ereignisübersicht zuzugreifen.

Die Liste der Ereignisse enthält die folgenden Spalten.

Spaltenname

Beschreibung

Zeitstempel

Gibt die Startzeit des Ereignisses an. Die Zeit wird in der aktuell ausgewählten Zeitzone angezeigt.

Die Liste wird nach Zeitstempel sortiert, standardmäßig in absteigender Reihenfolge (neuestes Ereignis oben). Sie können die Symbole verwenden, um die Liste in aufsteigendem Reihenfolge zu sortieren (ältestes Ereignis oben) oder um zur Standardeinstellung zurückzuwechseln.

Klicken Sie auf das Symbol Symbol Liste sortieren, um die Liste nach Zeitstempel zu sortieren.

Host

Der Host im überwachten Netzwerk, das an diesem Ereignis beteiligt ist. In dieser Spalte werden die IP-Adresse, der Hostname oder die Bezeichnung des Hosts angezeigt, abhängig von Ihren aktuellen Anzeigeeinstellungen. Klicken Sie neben dem Host auf das Symbol Bearbeiten, um das Popup-Fenster Bezeichnungs-/Stummschaltungs-Host zu öffnen.

Andere IP

IP-Adresse und Port des Hosts, der mit diesem Ereignis verknüpft ist. Beispiel: 203.0.113.115:80 gibt an, dass die IP-Adresse 203.0.113.115 über Port 80 kontaktiert wurde.

Das System versucht, die IP-Adresse zu lokalisieren. Wenn dies erfolgreich ist, zeigt ein kleines Flag-Symbol das Land an, das diese IP-Adresse möglicherweise hostet. Ein Lokales Netzwerk-Symbol wird für lokale Hosts verwendet.

Anderer Host

Der Hostname oder die IP-Adresse des bösartigen/verdächtigen Eintrags.

Bedrohung

Name der erkannten Bedrohung oder des Sicherheitsrisikos.

Bedrohungsklasse

Name der erkannten Bedrohungsklasse.

Auswirkung

Der Auswirkungswert gibt die kritische Stufe der erkannten Bedrohung an und liegt zwischen 1 und 100:

  • Bedrohungen ab 70 werden als kritisch betrachtet.

  • Bedrohungen zwischen 30 und 69 gelten als mittleres Risiko.

  • Bedrohungen zwischen 1 und 29 gelten als harmlose Bedrohungen.

Wenn das Stopp-Symbol angezeigt wird, weist es darauf hin, dass das Artefakt blockiert wurde.

Klicken Sie auf das Symbol Symbol Liste sortieren, um die Liste nach Auswirkungen zu sortieren.