Auf der Registerkarte Alle werden alle Instanzen von Dateidownloads angezeigt, die in Ihrem NSX-Netzwerk analysiert wurden.

Heruntergeladene Dateien im Zeitverlauf auf der Registerkarte „Alle“

Das Widget Heruntergeladene Dateien auf der Registerkarte Alle bietet einen Überblick über die Anzahl der Dateien, die in dem überwachten Netzwerk im angegebenen Zeitbereich heruntergeladen wurden. Das Diagramm ist ein tägliches Histogramm der heruntergeladenen Dateien, gruppiert nach dem übergeordneten Dateityp.

Das Widget zeigt alle analysierten Dateidownloads an.

Eine Liste der Dateitypen finden Sie unter Heruntergeladene Dateien im zeitlichen Verlauf.

Verwenden von Filtern auf der Seite „Heruntergeladene Dateien“

NSX Network Detection and Response bietet einen Filtermechanismus, mit dem Sie sich auf bestimmte Informationen zu heruntergeladenen Dateien konzentrieren können, die für Sie von Interesse sind. Die Verwendung von Filtern ist optional.

Prozedur

  1. Klicken Sie auf der Seite Heruntergeladene Dateien auf das Plus-Symbol, um das Widget Filter zu erweitern.
  2. Klicken Sie auf eine beliebige Stelle im Textfeld Filter auf und wählen Sie ein Element im Dropdown-Menü aus.

    Sie können aus den folgenden verfügbaren Filtern auswählen. Um den Fokus der angezeigten Informationen weiter einzugrenzen, können Sie mehrere Filter kombinieren.

    Filtername

    Beschreibung

    Analyse-Tags

    Schränken Sie die angezeigten Dateien durch ihre Analyse-Tags ein. Hierbei handelt es sich um Bezeichnungen, die einer Datei oder URL von der Systemanalyse zugewiesen werden. Sie können eine Bedrohung oder eine Bedrohungsklasse identifizieren oder sich auf ein bestimmtes bösartiges Verhalten beziehen, das erkannt wurde.

    Analyst-UUID

    Schränken Sie die angezeigten Dateien auf die Systemanalyse-UUID für die heruntergeladene Datei ein. Dies ist ein interner eindeutiger Bezeichner für die Analyse einer Datei.

    Anwendungsprotokoll

    Beschränken Sie angezeigte Dateien, die über eines der angegebenen Protokolle übertragen werden. Unterstützte Werte sind HTTP/HTTPS, FTP und SMB.

    Kontaktierte IP

    Beschränken Sie die angezeigten Dateien auf die IP-Adresse, von der die Datei heruntergeladen wurde. Wie der Host-IP-Filter unterstützt auch dieser IP-Adressen, CIDR-Blöcke oder IP-Adressbereiche.

    Dateitypfilter

    Beschränken Sie die angezeigten Dateien auf einen oder mehrere Dateitypen auf hoher Ebene. Weitere Informationen finden Sie in der Liste der Dateitypen (oben).

    Dateien

    Wählen Sie Bösartig aus, um die angezeigten Dateien auf bösartige Dateien zu beschränken. Dies sind Dateien, die bei der Systemanalyse eine Punktzahl von 70 oder mehr (von 100) erhalten haben.

    Host-IP

    Beschränken Sie die angezeigten Dateien auf die IP-Adresse des Hosts im Netzwerk, von dem die Datei heruntergeladen wurde. Dieser Filter unterstützt die Auswahl einer oder mehrerer IP-Adressen, CIDR-Blöcke (z. B. 192.168.0.0/24) oder IP-Adressbereiche (z. B. 192.168.1.5-192.168.1.9).

    HTTP-Host

    Beschränken Sie die angezeigten Dateien auf den/die Hostname(n), von dem die Datei heruntergeladen wurde.

    Hinweis:

    Dieser Wert wird aus dem HTTP-Host-Header in der HTTP-Anforderung extrahiert, mit der die Datei heruntergeladen wurde. Daher unterliegt er der Kontrolle des Clients und kann von einer bösartigen Software gefälscht werden, z. B. von einer Malware-Binärdatei, die bereits auf einem infizierten Host ausgeführt wird.

    MD5

    Beschränken Sie die angezeigten Dateien auf den MD5-Hash der heruntergeladenen Datei.

    Mindestpunktzahl

    Beschränken Sie die angezeigten Dateien auf diejenigen, denen die Systemanalyse eine höhere Punktzahl als den von Ihnen gewählten Wert (von 1-100) zugewiesen hat.
  3. Um die ausgewählten Filter anzuwenden, klicken Sie auf Anwenden.
  4. (Optional) Um einen einzelnen Filter zu löschen, klicken Sie neben dem Eintrag auf die Schaltfläche ENTFERNEN. Um alle ausgewählten Filter zu löschen, klicken Sie auf das Symbol X rechts neben dem Widget Filter.

    Das Widget Filter wird ausgeblendet, wenn Sie alle ausgewählten Filter löschen.

Liste der heruntergeladenen Dateien auf der Registerkarte „Alle“

In der Liste Heruntergeladene Dateien werden alle Dateien angezeigt, die von Hosts im Netzwerk heruntergeladen und vom NSX Advanced Threat Prevention-Dienst verarbeitet wurden.

Das Textfeld für die Schnellsuche in der oberen linken Ecke der Liste bietet eine schnelle Suchfunktion, die direkt nach der Eingabe ausgeführt wird. Es filtert die Zeilen in der Liste und zeigt nur die Zeilen mit Text in einer Spalte an, die mit der Abfragezeichenfolge übereinstimmt, die Sie im Suchtextfeld eingegeben haben.

Um die in der Liste angezeigten Spalten anzupassen, klicken Sie auf das Symbol für zusätzliche Inhalte. Wird durch den umgebenden Text beschrieben. in der oberen rechten Ecke der Liste.

Sie können die Anzahl der Zeilen, die angezeigt werden sollen, anpassen. Die Standardeinstellung ist 20 Einträge. Verwenden Sie die Symbole Pfeil nach links und Pfeil nach rechts, um durch mehrere Seiten zu navigieren.

Jede Zeile ist eine Zusammenfassung einer heruntergeladenen Datei. Klicken Sie auf das Plussymbol oder an einer beliebigen Stelle in eine Eingabezeile, um auf eine detaillierte Ansicht der heruntergeladenen Datei zuzugreifen.

Weitere Informationen zur detaillierten Ansicht der heruntergeladenen Dateien finden Sie unter Details zu heruntergeladenen Dateien.

Die Liste wird nach den Zeitstempelinformationen sortiert und enthält die folgenden Spalten.
Spaltenname Beschreibung
Zeitstempel Der Zeitstempel der Erkennung des Dateidownloads.
Host Der Host, der die Datei heruntergeladen hat.
Kontaktierte IP IP-Adresse des kontaktierten Hosts.
Speicherort

Für einen Download ist dies die URL der Datei im unterstützten Format. Beispielsweise \\127.0.0.2\samba_share\1128dedb.exe für einen SMB-Download oder http://www.example.com/download/example.zip für einen HTTP-Download.

Für einen Upload wird „Hochladen“ angezeigt.
MD5 Der MD5-Hash der heruntergeladenen Datei.
Typ Der allgemeine Typ der heruntergeladenen Datei. Die Liste der Dateitypen finden Sie unter Heruntergeladene Dateien im zeitlichen Verlauf.
AV-Klasse Eine Bezeichnung, die die Antivirenklasse der heruntergeladenen Datei definiert. Wenn die Bezeichnung über das Symbol Tag-Symbol verfügt, können Sie darauf klicken, um eine Popup-Beschreibung zu erhalten.
Malware Eine Bezeichnung, die den Malware-Typ der heruntergeladenen Datei definiert. Wenn die Bezeichnung über das Symbol Tag-Symbol verfügt, können Sie darauf klicken, um eine Popup-Beschreibung zu erhalten.
Bewertung

Die Bewertung, die der heruntergeladenen Datei mittels NSX Intelligence-Analyse zugewiesen wurde. Klicken Sie auf Sortierlisten-Symbol, um die Liste nach Bewertung zu sortieren.

Wenn Symbol für Blockiert angezeigt wird, weist dies darauf hin, dass das Artefakt blockiert wurde.