NSX Network Detection and Response bietet einen Filtermechanismus, der es Ihnen ermöglicht, sich auf bestimmte, für Sie interessante Informationen zu konzentrieren. Die Verwendung von Filtern ist optional.
Prozedur
- Klicken Sie auf der Seite Vorfälle auf das Symbol um das Widget Filter zu erweitern.
- Klicken Sie auf eine beliebige Stelle im Textfeld Filter auf und wählen Sie ein Element im Dropdown-Menü aus.
Sie können aus den folgenden verfügbaren Filtern auswählen. Um den Fokus der angezeigten Informationen weiter einzugrenzen, können Sie mehrere Filter kombinieren.
Filtername Beschreibung Aktivitäten-UUID Schränken Sie die angezeigten Einträge durch die Aktivitäten-UUID ein. Dies ist eine 32-stellige hexadezimale Zeichenfolge, z. B.
7dabc0fc9b3f478a850e1089a923df3a
.Alternativ können Sie die Zeichenfolge
null
eingeben, um Datensätze auszuwählen, die zu keiner Aktivität gehören.Home-Netzwerk Schränken Sie die angezeigten Einträge durch die Einstellung Home-Netzwerk ein. Wählen Sie im Dropdown-Menü Nur Home-Netzwerk oder Nicht identifizierte Netzwerke aus.
Host-IP Beschränken Sie die angezeigten Einträge auf eine bestimmte Quell-IP-Adresse, einen bestimmten IP-Adressbereich oder einen CIDR-Block. Geben Sie den Wert in das Textfeld ein.
Hostname Beschränken Sie die angezeigten Einträge anhand des Hostnamens. Der vollständige Hostname oder die Bezeichnung muss angegeben werden.
Priorität Schränken Sie die angezeigten Einträge nach dem Prioritätsstatus ein. Wählen Sie im Dropdown-Menü Infektionen, Überwachungsliste oder Belästigungen aus.
Gelesen Schränken Sie die angezeigten Einträge nach ihrem Gelesenstatus ein. Wählen Sie im Dropdown-Menü Gelesen oder Ungelesen aus.
Status Schränken Sie die angezeigten Einträge nach ihrem Status ein. Wählen Sie Geschlossen oder Offen im Dropdown-Menü aus.
Bedrohung Schränken Sie die angezeigten Einträge auf eine bestimmte Bedrohung ein. Wählen Sie eine Bedrohung aus dem Dropdown-Menü aus. Das Menü wird mit einer Liste katalogisierter Bedrohungen vorausgefüllt.
Verwenden Sie die Suchfunktion oben im Menü, um schnell einen Bedrohungsnamen zu finden.
Bedrohungsklasse Schränken Sie die angezeigten Einträge auf eine bestimmte Bedrohungsklasse ein. Wählen Sie die Bedrohungsklasse aus dem Dropdown-Menü. Das Menü ist mit einem Katalog von Klassen vorausgefüllt, von denen einige unten aufgeführt sind. Verwenden Sie die Suchfunktion oben im Menü, um schnell einen Klassennamen zu finden.
- Adware: Malware, die auf einem infizierten Computer Werbung anzeigt oder herunterlädt.
- Klickbetrug: Klickbetrug zielt auf Pay-per-Click-Online-Werbung ab.
- Befehl und Steuerung: Ein infizierter Computer gehört zu einem Botnet und kann von einem Angreifer aus der Ferne gesteuert werden.
- Drive-by: Ein Angreifer versucht, eine Sicherheitslücke auf dem Computer auszunutzen, um zusätzliche Malware auf dem Zielsystem zu installieren.
- Exploit-Toolkit: Erkennung eines Exploit-Toolkits, das einen Drive-by-Download-Angriff versucht hat
-
Fake-AV: Gefälschte Antiviren-Software oder andere Arten betrügerischer Sicherheitssoftware, die darauf abzielt, Ihre Benutzer zu täuschen oder in die Irre zu führen.
- Inaktives C&C: Der Befehls- und Steuerungsserver für dieses spezifische Botnet ist inaktiv.
- VMware-Blockierungstest: Die Domäne block.lastline.com wird verwendet, um die Blockierung von Netzwerkverbindungen zu testen. Die ausgewählten Ereignisse gehören zu dieser Klasse.
- VMware-Test: Die Domäne test.lastline.com wird verwendet, um die Funktionalität des Setups zu testen, und die ausgewählten Ereignisse gehören zu dieser Klasse.
- Download bösartiger Dateien, Malwareverteilung und Malware-Download: Die IP-Adresse oder Domäne hostet bösartige ausführbare Dateien.
- Sinkhole: Ein Sinkhole wird von einer legitimen Organisation betrieben, stellt also keine Bedrohung dar. Allerdings können Hosts, die versuchen, einen solchen Host zu kontaktieren, infiziert werden.
- Spyware: Malware, die versucht, vertrauliche Informationen zu entwenden.
- suspicious-dns: Verdächtige DNS-Domänen sind Domänen, die von Malware kontaktiert werden, die auf infizierten Computern ausgeführt wird. Unsere proprietären Techniken konnten diese Domänen proaktiv als böswillig identifizieren.
- Unbekannt: Ein unbekanntes Sicherheitsrisiko wurde erkannt.
- Um die ausgewählten Filter anzuwenden, klicken Sie auf Anwenden.
- (Optional) Um einen einzelnen Filter zu löschen, klicken Sie neben dem Eintrag auf die Schaltfläche – Entfernen. Um alle ausgewählten Filter zu löschen, klicken Sie auf das Symbol rechts neben dem Widget Filter.
Das Widget Filter wird ausgeblendet, wenn Sie alle ausgewählten Filter löschen.