Machen Sie sich mit der folgenden Schlüsselterminologie vertraut, die im Zusammenhang mit der NSX Network Detection and Response-Funktion verwendet wird.
| Terminologie | Definition |
|---|---|
| Aktivität | Ein korrelierter Satz von Vorfällen, die sich über einen bestimmten Zeitraum auf eine oder mehrere Arbeitslasten auswirken. |
| Ereignis | Stellt eine sicherheitsrelevante Aktivität dar, die im überwachten Netzwerk aufgetreten ist. Ein Ereignis kann mehrere Datenflows umfassen (z. B. TCP-Verbindungen), aber es stellt eine einzige Art von Aktivität dar, die zwischen einem bestimmten IP-Adressenpaar innerhalb eines kurzen Zeitraums stattfindet. Mehrere Ereignisse werden automatisch zu Vorfällen zusammengefasst. |
| Vorfall | Stellt eine sicherheitsrelevante Aktivität dar, die im überwachten Netzwerk aufgetreten ist. Ein Vorfall kann aus einem einzelnen Ereignis oder mehreren Ereignissen bestehen, die automatisch zu einem Vorfall zusammengefasst wurden. |
| Infektion | Ein Vorfall, der als kritisch eingestuft wurde. Infektionen sollten ohne Verzögerung behandelt werden. |
| Störung | Ein Vorfall mit geringem Risiko. In der Regel handelt es sich dabei um potenziell unerwünschte/riskante Aktivitäten, die nicht unbedingt auf eine Gefährdung oder Infektion des überwachten Netzwerks hindeuten. Störungen werden verfolgt, da sie dazu beitragen, ein umfassenderes Lagebild des Netzes zu erstellen. |
| Bewertung der Auswirkungen eines Ereignisses | Die Gesamt-Auswirkungsbewertung, die für ein von der NSX Network Detection and Response-Funktion erkanntes Ereignis berechnet wurde. Die Punktzahl reicht von 0-100, wobei 100 die gefährlichste Erkennung darstellt. Die folgenden Stufen der Ereignisauswirkungen werden verwendet.
|
| Watchlist | Ein Vorfall, der als mittleres Risiko eingestuft wurde. Solche Vorfälle weisen zwar auf ein potenzielles Risiko hin, erfordern aber keine sofortige Aufmerksamkeit. Sie werden genau beobachtet, falls neue Erkenntnisse auftauchen, die ihren Status ändern. So wird beispielsweise ein Vorfall, bei dem eine nicht funktionsfähige Befehls- und Steuerungsinfrastruktur betroffen ist, als beobachtet eingestuft. |
