Seite „Ereignisprofil“

Der Zugriff auf die Seite Ereignisprofil erfolgt über die Schaltfläche Details oben in der Seitenleiste Ereignisübersicht.

Oben in der Ansicht gibt es eine Reihe von Steuerelementen und Schaltflächen:

Klicken Sie auf Ereignisse, um eine Dropdown-Liste ähnlicher Funktionen anzuzeigen. Klicken Sie auf das Symbol neben jedem Ereignis, um Ziel, Zielport, Quell-IP, Transportprotokoll, Bedrohungsklasse und Bedrohungstyp auszuwählen. Klicken Sie dann auf Ereignisse anzeigen , um die ausgewählten Ereignisse in einer neuen Registerkarte anzuzeigen.
Klicken Sie auf Warnung verwalten, um die Seitenleiste Warnung verwalten zu starten. Verwenden Sie diese Funktion, um unbedenkliche Ereignisse zu unterdrücken oder herabzustufen, wie z. B. Test- oder blockierende Ereignisse des Systems, oder um benutzerdefinierte Bewertungen auf bestimmte Ereignisse anzuwenden. Weitere Informationen finden Sie unter Arbeiten mit der Sidebar „Warnung verwalten“.
Klicken Sie auf das Symbol , um alle Felder zu reduzieren, oder auf das Symbol , um alle Felder zu erweitern.

Ereignisübersicht

Der obere Abschnitt bietet einen visuellen Überblick über die Bedrohung oder Malware, die die NSX Network Detection and Response-Anwendung erkannt hat, und zeigt die Bedrohungsklasse und die Auswirkungsbewertung für die Bedrohung an.

Ereignisübersicht

Der Abschnitt Ereignisübersicht enthält eine Erklärung, warum die NSX Network Detection and Response-Anwendung dieses Ereignis markiert hat, identifiziert die mit diesem Ereignis verbundene Bedrohung oder Malware, beschreibt kurz die erkannte Aktivität und zeigt unterstützende Daten an.

Falls über den NSX Advanced Threat Prevention-Cloud-Dienst verfügbar, wird eine ausführliche Erklärung des Ereignisses und der Gründe, warum es als bösartig eingestuft wird, oben im Abschnitt Ereignisübersicht angezeigt.

Serverblock

Der Serverblock zeigt die folgenden Daten an.

Daten	Beschreibung
Hostname	Falls verfügbar, der FQDN des Servers.
IP-Adresse	Die IP-Adresse des -Servers. Möglicherweise wird ein Geostandort-Flag angezeigt. Wenn das Symbol vorhanden ist, klicken Sie auf den Link, um weitere Details auf der Seite Hostprofil anzuzeigen. Falls verfügbar, klicken Sie auf das Symbol , um die Reputations-Tags des Clients anzuzeigen. Falls verfügbar, klicken Sie auf das Symbol , um Registrierungsinformationen und andere Daten zum Host im Popup-Fenster WHOIS anzuzeigen.
MAC-Adresse	Falls verfügbar, die MAC-Adresse des Servers. Diese Adresse wird aus der Überwachung des DHCP-Datenverkehrs bezogen und ist einer der Datenpunkte, die das System zum Generieren eines eindeutigen HostID-Eintrags verwendet, der einem bestimmten Host im Netzwerk unabhängig von seiner IP-Adresse zugeordnet wird.

Daten

Beschreibung

Hostname

Falls verfügbar, der FQDN des Servers.

IP-Adresse

Die IP-Adresse des -Servers. Möglicherweise wird ein Geostandort-Flag angezeigt. Wenn das Symbol vorhanden ist, klicken Sie auf den Link, um weitere Details auf der Seite Hostprofil anzuzeigen.

Falls verfügbar, klicken Sie auf das Symbol , um die Reputations-Tags des Clients anzuzeigen.

Falls verfügbar, klicken Sie auf das Symbol , um Registrierungsinformationen und andere Daten zum Host im Popup-Fenster WHOIS anzuzeigen.

MAC-Adresse

Falls verfügbar, die MAC-Adresse des Servers. Diese Adresse wird aus der Überwachung des DHCP-Datenverkehrs bezogen und ist einer der Datenpunkte, die das System zum Generieren eines eindeutigen HostID-Eintrags verwendet, der einem bestimmten Host im Netzwerk unabhängig von seiner IP-Adresse zugeordnet wird.

Clientblock

Der Clientblock zeigt die folgenden Daten an.

Daten	Beschreibung
Hostname	Falls verfügbar, der FQDN des Clients.
IP-Adresse	Die IP-Adresse des Clients. Möglicherweise wird ein Geostandort-Flag angezeigt. Falls verfügbar, klicken Sie auf die Adresse oder das Symbol , um die Seite Hostprofil anzuzeigen. Falls verfügbar, klicken Sie auf das Symbol , um die Reputations-Tags des Clients anzuzeigen. Falls verfügbar, klicken Sie auf das Symbol , um Registrierungsinformationen und andere Daten zum Host im Popup-Fenster WHOIS anzuzeigen.
MAC-Adresse	Falls verfügbar, die MAC-Adresse des Clients. Diese Adresse wird aus der Überwachung des DHCP-Datenverkehrs bezogen und ist einer der Datenpunkte, die das System zum Generieren eines eindeutigen HostID-Eintrags verwendet, der einem bestimmten Host im Netzwerk unabhängig von seiner IP-Adresse zugeordnet wird.

Daten

Beschreibung

Hostname

Falls verfügbar, der FQDN des Clients.

IP-Adresse

Die IP-Adresse des Clients. Möglicherweise wird ein Geostandort-Flag angezeigt. Falls verfügbar, klicken Sie auf die Adresse oder das Symbol , um die Seite Hostprofil anzuzeigen.

Falls verfügbar, klicken Sie auf das Symbol , um die Reputations-Tags des Clients anzuzeigen.

Falls verfügbar, klicken Sie auf das Symbol , um Registrierungsinformationen und andere Daten zum Host im Popup-Fenster WHOIS anzuzeigen.

MAC-Adresse

Falls verfügbar, die MAC-Adresse des Clients. Diese Adresse wird aus der Überwachung des DHCP-Datenverkehrs bezogen und ist einer der Datenpunkte, die das System zum Generieren eines eindeutigen HostID-Eintrags verwendet, der einem bestimmten Host im Netzwerk unabhängig von seiner IP-Adresse zugeordnet wird.

Ereignismetadaten

Im Abschnitt „Ereignismetadaten“ werden die folgenden Daten angezeigt.

Daten	Beschreibung
Ergebnis der Überprüfung	Gibt das Ereignisergebnis an. Folgende Werte sind möglich. Blockiert: Die Bedrohung wurde von der NSX Network Detection and Response-Anwendung oder von einer Drittanbieteranwendung blockiert. Fehlgeschlagen: Die Bedrohung konnte ihr Ziel nicht erreichen. Dies kann darauf zurückzuführen sein, dass der C&C-Server offline ist, der Angreifer Codierungsfehler gemacht hat usw. Erfolgreich: Es wurde festgestellt, dass die Drohung ihr Ziel erreicht hat. Dies könnte bedeuten, dass sein Anmeldeversuch beim C&C-Server abgeschlossen wurde und Daten vom böswilligen Endpoint empfangen wurden. Wenn das Ereignisergebnis unbekannt ist, wird dieses Feld nicht angezeigt.
Name des Prüfers	Der Name des Ereignisprüfers. Klicken Sie auf den Link, um auf das Popup-Fenster Prüferdokumentation zuzugreifen.
Nachricht des Prüfers	Eine Nachricht vom Prüfer, die weitere Informationen zu dem Ergebnis liefert, z. B. welche Drittanbieteranwendung die Gefährdung blockiert hat.
Sensor	Der Sensor, der das Ereignis erkannt hat.
Verbindungen	Die Anzahl der Verbindungen, die im Ereignis enthalten sind.
Aktion	Eine Liste der vom Sensor durchgeführten Aktionen (z. B. alle blockierenden Aktivitäten, ob das Ereignis protokolliert wird, ob Datenverkehr erfasst wurde oder ein Malware-Download extrahiert wurde).
Angemeldete Benutzer	Eine Liste der Benutzer, die in den protokollierten Datensätzen erkannt wurden.
Ergebnis	Das Ergebnis des Ereignisses. In den meisten Fällen ist das Ergebnis `ERKENNUNG`. Für INFO-Ereignisse und Ereignisse, die vom INFO-Status heraufgestuft wurden, gibt eine zusätzliche Bezeichnung den Grund für den Status bzw. die Statusänderung an. Wenn Sie den Mauszeiger über die Bezeichnung bewegen, wird ein Popup-Fenster mit zusätzlichen Details zur Ursache angezeigt.
Zugehöriger Vorfall	Ein Permalink zu einem korrelierten Vorfall. Durch Klicken auf den Link wird die Seite Vorfallprofil in einer neuen Browserregisterkarte geöffnet. Bei diesem Ereignis kann es sich um eine Reihe von eng miteinander verbundenen Ereignissen handeln, die automatisch mit einem Vorfall korreliert wurden.
Ereignis-ID	Zeigen Sie das Ereignis auf der Seite Netzwerkereignisdetails an. Der Link wird auf einer neuen Browserregisterkarte geöffnet.
Startzeit	Ein Zeitstempel für den Beginn des Ereignisses.
Endzeit	Ein Zeitstempel für das Ende des Ereignisses.

Erfasste Malware

Der Abschnitt „Erfasste Malware“ enthält Informationen aus der dynamischen Analyse, die auf der bösartigen Softwareinstanz durchgeführt wurde, die sich auf das Ereignis bezieht.

Sie können auf detaillierte technische Informationen darüber zugreifen, was die Malware tut, wie sie funktioniert und welche Art von Risiko sie darstellt. Weitere Informationen zu den angezeigten Details finden Sie unter Verwenden des Analyseberichts.

Hinweis:

Wenn für das Ereignis keine bösartige Software erkannt wurde, wird dieser Abschnitt nicht angezeigt.

Ereignisnachweis

Der Abschnitt „Ereignisnachweis“ enthält Details zu den Aktionen, die bei der Analyse des Ereignisses beobachtet wurden.

Zu den Aktionen können schädliche Dateidownloads, Netzwerkdatenverkehr, der der Netzwerksignatur für bekannte Bedrohungen entspricht, die Ausführung einer Domänennamensauflösung einer blockierten Malware-Domäne, ein bekannter ungültiger URL-Pfad usw. gehören.

Falls verfügbar, klicken Sie auf den Detector-Link, um das Popup-Fenster Detector-Dokumentation anzuzeigen. Weitere Informationen finden Sie ebenfalls unter Informationen zu Nachweisen.

Hostreputation

Der Abschnitt „Hostreputation“ enthält Informationen zu bekannten bösartigen Hosts oder URL-Reputationseinträgen, die im Ereignis angezeigt werden.

Hinweis:

Wenn der Host über keinen bekannten Verlauf verfügt, wird dieser Abschnitt nicht angezeigt.

Anomaliedaten

In diesem Abschnitt werden die Netflow- oder passiven DNS-Einträge angezeigt, die das Anomalieereignis ausgelöst haben.

Je nach der festgestellten Anomalie trägt er den Titel DNS-Anomaliedaten oder Netflow-Anomaliedaten.

Es können zusätzliche Informationen angegeben werden, z. B. die IP-Adressen oder Ports, die als anomal eingestuft wurden. Wenn eine große Anzahl von Elementen betroffen ist, können Sie auf das #, um alle Elemente anzuzeigen.

Hinweis:

Wenn für das Ereignis keine Anomalien festgestellt wurden, wird dieser Abschnitt nicht angezeigt.

Bedrohungsbeschreibung

Der Abschnitt „Bedrohungsbeschreibung“ enthält eine detaillierte Beschreibung der Bedrohung im Zusammenhang mit dem Ereignis.

Risikominderung

Der Abschnitt „Risikominderung“ enthält detaillierte Anweisungen zum Entfernen schädlicher Software und anderer empfohlener Prozesse, die nach dem Ereignis bereinigt werden sollen.

Hinweis:

Wenn kein bekannter Risikominderungsprozess für das Ereignis vorhanden ist, wird dieser Abschnitt nicht angezeigt.