NSX Network Detection and Response bietet einen Filtermechanismus, mit dem Sie sich auf bestimmte Informationen zu heruntergeladenen Dateien konzentrieren können, die für Sie von Interesse sind. Die Verwendung von Filtern ist optional.
Prozedur
- Klicken Sie auf der Seite Heruntergeladene Dateien auf das , um das Widget Filter zu erweitern.
- Klicken Sie auf eine beliebige Stelle im Textfeld Filter auf und wählen Sie ein Element im Dropdown-Menü aus.
Sie können aus den folgenden verfügbaren Filtern auswählen. Um den Fokus der angezeigten Informationen weiter einzugrenzen, können Sie mehrere Filter kombinieren.
Filtername
Beschreibung
Analyse-Tags
Schränken Sie die angezeigten Dateien durch ihre Analyse-Tags ein. Hierbei handelt es sich um Bezeichnungen, die einer Datei oder URL von der Systemanalyse zugewiesen werden. Sie können eine Bedrohung oder eine Bedrohungsklasse identifizieren oder sich auf ein bestimmtes bösartiges Verhalten beziehen, das erkannt wurde.
Analyst-UUID
Schränken Sie die angezeigten Dateien auf die Systemanalyse-UUID für die heruntergeladene Datei ein. Dies ist ein interner eindeutiger Bezeichner für die Analyse einer Datei.
Anwendungsprotokoll
Beschränken Sie angezeigte Dateien, die über eines der angegebenen Protokolle übertragen werden. Unterstützte Werte sind HTTP/HTTPS, FTP und SMB.
Kontaktierte IP
Beschränken Sie die angezeigten Dateien auf die IP-Adresse, von der die Datei heruntergeladen wurde. Wie der Host-IP-Filter unterstützt auch dieser IP-Adressen, CIDR-Blöcke oder IP-Adressbereiche.
Dateitypfilter
Beschränken Sie die angezeigten Dateien auf einen oder mehrere Dateitypen auf hoher Ebene. Weitere Informationen finden Sie in der Liste der Dateitypen (oben).
Dateien
Wählen Sie Bösartig aus, um die angezeigten Dateien auf bösartige Dateien zu beschränken. Dies sind Dateien, die bei der Systemanalyse eine Punktzahl von 70 oder mehr (von 100) erhalten haben.
Host-IP
Beschränken Sie die angezeigten Dateien auf die IP-Adresse des Hosts im Netzwerk, von dem die Datei heruntergeladen wurde. Dieser Filter unterstützt die Auswahl einer oder mehrerer IP-Adressen, CIDR-Blöcke (z. B. 192.168.0.0/24) oder IP-Adressbereiche (z. B. 192.168.1.5-192.168.1.9).
HTTP-Host
Beschränken Sie die angezeigten Dateien auf den/die Hostname(n), von dem die Datei heruntergeladen wurde.
Hinweis:Dieser Wert wird aus dem HTTP-Host-Header in der HTTP-Anforderung extrahiert, mit der die Datei heruntergeladen wurde. Daher unterliegt er der Kontrolle des Clients und kann von einer bösartigen Software gefälscht werden, z. B. von einer Malware-Binärdatei, die bereits auf einem infizierten Host ausgeführt wird.
MD5
Beschränken Sie die angezeigten Dateien auf den MD5-Hash der heruntergeladenen Datei.
Mindestpunktzahl
Beschränken Sie die angezeigten Dateien auf diejenigen, denen die Systemanalyse eine höhere Punktzahl als den von Ihnen gewählten Wert (von 1-100) zugewiesen hat.
- Um die ausgewählten Filter anzuwenden, klicken Sie auf Anwenden.
- (Optional) Um einen einzelnen Filter zu löschen, klicken Sie neben dem Eintrag auf die Schaltfläche ENTFERNEN. Um alle ausgewählten Filter zu löschen, klicken Sie auf das Symbol X rechts neben dem Widget Filter.
Das Widget Filter wird ausgeblendet, wenn Sie alle ausgewählten Filter löschen.