Ein Vorfall ist eine sicherheitsrelevante Aktivität, die von NSX Network Detection and Response im überwachten Netzwerk festgestellt wurde. Ein Vorfall kann aus einem einzelnen Ereignis oder einer Reihe von Ereignissen bestehen, die automatisch korreliert wurden und als eng miteinander verbunden erkannt wurden. Die Liste der Vorfälle zeigt die registrierten Vorfälle mit ihren entsprechenden Bedrohungsstufen an.
Sie können alle gemeldeten Vorfälle sehen, die als kritisch eingestuft wurden, die Sie im Auge behalten sollten oder die in Ihrem Netzwerk als störend empfunden werden. Kritische Vorfälle müssen ohne Verzögerung behandelt werden. Der Umgang mit kritischen Vorfällen ist äußerst riskant und erhöht die Wahrscheinlichkeit, dass auch andere Hosts in Ihrem Netzwerk kompromittiert werden.
Vorfälle, die Sie noch nicht untersucht haben, werden als ungelesen markiert, während diejenigen, die Sie bereits untersucht haben, als gelesen markiert sind. Sie haben die Möglichkeit, Vorfälle auszuwählen und Aktionen daran durchzuführen, wie z. B. sie als gelesen oder ungelesen zu markieren. Sie können auch ausgewählte Vorfälle schließen oder öffnen.
Das Textfeld für die Schnellsuche oberhalb der Liste bietet eine Suchfunktion, die direkt nach der Eingabe ausgeführt wird. Es filtert die Zeilen in der Liste und zeigt nur die Zeilen an, die in einem beliebigen Feld Text enthalten, der mit der Abfragezeichenfolge übereinstimmt.
Verwenden Sie das Dropdown-Menü AUSWÄHLEN für eine detaillierte Auswahl. Mit diesen Optionen können Sie alle sichtbaren Vorfälle auswählen oder die Auswahl löschen. Sie können auch die Vorfälle Gelesen (aktuelle Seite) oder Ungelesen (aktuelle Seite) auswählen. Sie können auch auf das Symbol Bearbeiten in der Titelzeile klicken, um alle sichtbaren Nachrichten auszuwählen.
Verwenden Sie das Dropdown-Menü AKTION, um die ausgewählten Vorfälle zu aktualisieren: Als gelesen markieren, Als ungelesen markieren, Schließen oder Öffnen.
Passen Sie die Anzahl der Zeilen an, die angezeigt werden sollen. Die Standardeinstellung ist 20 Einträge. Verwenden Sie das Symbol mit dem 
und das Symbol mit dem 
, um durch mehrere Seiten zu navigieren.
Die Spalten, die in der Liste angezeigt werden sollen, können durch Anklicken des Symbols Zusätzlicher Inhalt angepasst werden.
Jede Zeile ist eine Zusammenfassung eines Vorfalls. Klicken Sie auf das Plussymbol (oder an einer beliebigen Stelle in einer Eingabezeile), um auf die Vorfalldetails zuzugreifen. Um eine Meldungszeile auszuwählen, klicken Sie auf das Symbol Bearbeiten.
Die Liste ist nach Auswirkungen sortiert und enthält die folgenden Spalten.
Spalte |
Beschreibung |
|---|---|
Host |
Der von diesem Vorfall betroffene Host. In dieser Spalte wird die IP-Adresse, der Hostname oder die Bezeichnung des Hosts angezeigt, je nach dem aktuellen Popup-Fenster Anzeigeeinstellungen. Klicken Sie auf das Klicken Sie auf das Symbol |
Erkennungsereignisse |
Anzahl der Ereignisse, aus denen dieser Vorfall besteht. Dies ist ein Link, der eine Ereignisanzahl und das Klicken Sie auf das Symbol |
Start |
Startzeit des Vorfalls. Klicken Sie auf das Symbol |
Ende |
Endzeit des Vorfalls. Klicken Sie auf das Symbol |
Bedrohung |
Name des erkannten Sicherheitsrisikos. Klicken Sie auf das Symbol |
Bedrohungsklasse |
Name der erkannten Sicherheitsrisikoklasse. Klicken Sie auf das Symbol Sortieren, um die Liste nach Bedrohungsklasse zu sortieren. |
Auswirkung |
Der Auswirkungswert gibt die kritische Stufe der erkannten Bedrohung an und liegt zwischen 1 und 100:
Wenn das Symbol Stopp angezeigt wird, weist es darauf hin, dass das Artefakt blockiert wurde. Die Liste ist in abnehmender Reihenfolge der Auswirkungen sortiert (die kritischsten Vorfälle stehen an erster Stelle). Klicken Sie auf das Symbol |
, um die Seite mit dem 
, um die Liste nach Hostinformationen zu sortieren.
, um die Liste in aufsteigender Reihenfolge zu sortieren (die am wenigsten kritischen Vorfälle ganz oben), und klicken Sie dann auf das Symbol 
, um zur Standardeinstellung zurückzukehren.Vorfallsdetails
Wenn Sie auf eine beliebige Stelle in einer Vorfallszeile klicken, wird die Ansicht „Vorfallsdetails“ innerhalb der Vorfallsliste erweitert.
Oben in den Vorfalldetails sind mehrere Schaltflächen vorhanden:
-
Klicken Sie auf die Schaltfläche mit dem
, um den Vorfall zu schließen. -
Verwenden Sie das Dropdown-Menü Aktion, um eine Aktion für den Vorfall durchzuführen:
-
Wenn der Vorfall noch nicht geschlossen ist, wählen Sie Vorfall schließen
aus. Wählen Sie andernfalls Vorfall öffnen. -
Wenn der Vorfall noch nicht gelesen ist, wählen Sie Als gelesen markieren. Wählen Sie andernfalls Als ungelesen markieren aus.
-
Wählen Sie Bedrohung ignorieren. Die Bedrohungsdetails werden im Menüelement aufgelistet. Die Auswahl dieses Elements zeigt an, dass das Vorhandensein dieser bestimmten Bedrohung auf dem Host nicht von Interesse ist. Daher werden alle Vorfälle, bei denen diese Bedrohung auf diesem Host erkannt wird, automatisch geschlossen.
-
Wählen Sie Host <Host> als bereinigt markieren. Das System markiert den Host, der an dem Vorfall beteiligt ist, als bereinigt. Infolgedessen werden alle Vorfälle auf diesem Host geschlossen.
-
-
Wenn Sie auf das
Vorfalldetails anzeigen klicken, wird der Inhalt der Seite Vorfallprofil in einer neuen Browserregisterkarte angezeigt. -
Wenn Sie auf Warnung verwalten klicken, wird die Seitenleiste Warnung verwalten geöffnet. Verwenden Sie diese Funktion, um unbedenkliche Ereignisse im Zusammenhang mit dem angegebenen Vorfall zu unterdrücken oder herabzustufen, z. B. den Systemtest oder blockierende Vorfälle. Weitere Informationen finden Sie unter Arbeiten mit der Sidebar „Warnung verwalten“.
-
Klicken Sie auf das
Als gelesen markieren, um den Vorfall zu markieren. Die Schaltfläche wechselt zu Als ungelesen markieren, wodurch Sie den Lesestatus zurücksetzen können.
Vorfallsübersicht
Der obere Abschnitt bietet eine visuelle Übersicht über die erkannte Bedrohung und zeigt die Auswirkungspunktzahl an.
Vorfallsdetails
| Spalte | Beschreibung |
|---|---|
| Quell-IP | Die IP-Adresse der Vorfallsquelle. Klicken Sie auf das , um die Seite Aktivität für Host anzuzeigen. Klicken Sie auf das  , um die Quelle auf der Seite Netzwerkanalyse anzuzeigen. |
| Quellhost | Falls verfügbar, der FQDN der Vorfallsquelle. |
| Ereignisse | Die Anzahl der Ereignisse, aus denen dieser Vorfall besteht. |
| Vorfall-ID | Ein Permalink zur Seite Vorfallprofil. Der Link wird in einer neuen Registerkarte/einem neuen Browserfenster geöffnet. |
| Aktivitäts-ID | Ein Permalink zur Seite „Aktivitäten“. Der Link wird auf einer neuen Browserregisterkarte geöffnet. |
| Auswirkung | Die vom System auf diesen Vorfall angewendete Auswirkungspunktzahl. |
| Startzeit | Ein Zeitstempel für den Beginn des Vorfalls. |
| Endzeit | Ein Zeitstempel für das letzte aufgezeichnete Ereignis des Vorfalls. |
| Status | Zeigt an, ob der Vorfall geschlossen wurde. |
Nachweise
Das erweiterte Widget Nachweis zeigt die Liste der Ereignisse an, die von NSX Network Detection and Response erkannt wurden.
Die Spalten, die in der Liste angezeigt werden sollen, können durch Klicken auf das Symbol mit den 
angepasst werden.
| Spalte | Beschreibung |
|---|---|
| Erste Erkennung | Zeitstempel des ersten Auftretens dieses Ereignisses. |
| Letzte Erkennung | Zeitstempel des letzten Auftretens dieses Ereignisses. |
| Bedrohung | Name des erkannten Sicherheitsrisikos. |
| Bedrohungsklasse | Name der erkannten Sicherheitsrisikoklasse. |
| Auswirkung | Die auf diesen Vorfall angewendete Auswirkungspunktzahl. |
| Nachweise | Die Nachweiskategorie für diesen Vorfall. Der Titel des Blocks mit den Nachweisdetails wird von der Kategoriebezeichnung abgeleitet. |
| Subjekt | Das Artefakt, in der Regel eine Datei, die analysiert wird. |
| Verweis | Ein Permalink zur Ereignisseite. Der Link wird auf einer neuen Browserregisterkarte geöffnet. |
Nachweisdetails
Klicken Sie auf das 
(oder an einer beliebigen Stelle in einer Vorfalleintragszeile), um den Block mit den Nachweisdetails anzuzeigen.
Der Titel des Blocks mit den Nachweisdetails wird vom Nachweistyp abgeleitet. Beispiel: Reputationsnachweis.
| Daten | Beschreibung |
|---|---|
| Bedrohung | Name des erkannten Sicherheitsrisikos. |
| Bedrohungsklasse | Name der erkannten Sicherheitsrisikoklasse. |
| Auswirkung | Die auf diesen Vorfall angewendete Auswirkungspunktzahl. |
| Detektor | Falls vorhanden, wird das NSX Network Detection and Response-Modul angezeigt, das die Bedrohung identifiziert hat. Klicken Sie auf den Link, um das Popup-Fenster „Detektor“ anzuzeigen. Siehe Popup-Fenster der Detektor-Dokumentation. |
| Netzwerkereignis anzeigen | Ein Permalink zur Ereignisseite. Der Link wird auf einer neuen Browserregisterkarte geöffnet. |
| Netzwerkereignis anzeigen | Ein Permalink zur Ereignisseite. Der Link wird auf einer neuen Browserregisterkarte geöffnet. |
| Erste Erkennung | Zeitstempel des ersten Auftretens dieses Ereignisses. |
| Letzte Erkennung | Zeitstempel des letzten Auftretens dieses Ereignisses. |
| Schweregrad | Eine Schätzung, wie kritisch die erkannte Bedrohung ist. Beispielsweise wird eine Verbindung zu einem Befehl und einem Steuerungsserver in der Regel als hoher Schweregrad betrachtet, da die Verbindung potenziell schädlich ist. |
| Konfidenz | Gibt die Wahrscheinlichkeit an, dass die erkannte individuelle Bedrohung böswillig ist. Da das System fortschrittliche Heuristiken verwendet, um unbekannte Bedrohungen zu erkennen, kann die erkannte Bedrohung in einigen Fällen einen niedrigeren Konfidenzwert haben, wenn die Menge der für diese spezifische Bedrohung verfügbaren Informationen begrenzt ist. |
| Subjekt | Falls vorhanden, wird das Artefakt (in der Regel eine Datei) angezeigt, das gerade analysiert wird. |
Weitere Informationen finden Sie unter Informationen zu Nachweisen.
