Auf dem Dashboard Malware-Schutz können Sie Ereignisdetails von Dateien anzeigen, die im Datencenter für genauere Überwachungs- und Analysezwecke extrahiert wurden.

Das Dashboard kann Dateiereignisse der letzten 14 Tage anzeigen. Informationen zur maximalen Anzahl von Dateiereignissen, die von der verteilten und der Gateway-Firewall unterstützt werden, finden Sie im Tool zu den Maximalwerten für die VMware-Konfiguration unter https://configmax.vmware.com/home.

Die Informationen zu Dateiereignissen (Dateiprüfungen) werden auf zwei Registerkartenseiten angezeigt.
Seite „Potenzielle Malware“

Zeigt aggregierte Ereignisdetails zu schädlichen Dateien, verdächtigen Dateien und nicht geprüften Dateien (auf der Positivliste) an, die über einen bestimmten Zeitraum im Datencenter extrahiert wurden.

Eine Blase im Blasendiagramm stellt eine eindeutige Datei dar, die im Datencenter extrahiert wird. Eine Datei wird durch ihren Datei-Hash eindeutig identifiziert. Die Farbe und die Grafik in der Blase geben an, ob die Datei schädlich, verdächtig oder nicht geprüft (in der Positivliste enthalten) ist.

Eine Tabellenzeile stellt eine Datei dar. Die Zahl in der Blase bezeichnet die für die Datei berechnete Bedrohungsbewertung. Die Bewertung wird auf einer Skala von 0 bis 100 angezeigt. Der Wert bezeichnet den mit der Datei verbundenen Risikograd bzw. die Wahrscheinlichkeit einer bösartigen Absicht. Eine hohe Bedrohungsbewertung weist auf ein größeres Risiko hin und umgekehrt. Beispiel:
  • Der Bewertungsbereich für ungefährliche Dateien umfasst die Werte von 0 bis 29.
  • Der Bewertungsbereich für verdächtige Dateien umfasst die Werte von 30 bis 69.
  • Der Bewertungsbereich für schädliche Dateien umfasst die Werte von 70 bis 100.
  • Nicht geprüfte Dateien haben eine Bewertung von -1.

Wenn eine Datei als schädlich oder verdächtig eingestuft wird, werden die Malware-Familie und die Malware-Klasse für die Datei angezeigt. Eine einzelne Datei kann mehreren Malware-Familien und Malware-Klassen angehören. Sind die Malware-Familie und Malware-Klasse für eine Datei in NSX jedoch unbekannt, werden die Informationen nicht in der Benutzeroberfläche angezeigt.

Hinweis: Für jede Datei werden die Ereignisdetails (Überprüfungsdetails) aggregiert und im Dashboard angezeigt. Wenn beispielsweise eine einzelne Datei fünf Mal im Datencenter überprüft wird, werden fünf Dateiereignisse generiert. Das bedeutet, dass die Anzahl der Überprüfungen für die Datei fünf beträgt. Das Blasendiagramm zeigt jedoch eine einzelne Blase für die Datei an, und die Tabelle enthält eine einzige Zeile für diese Datei. Wenn Sie auf eine Blase zeigen, wird eine Zusammenfassung der für die Datei durchgeführten Überprüfungen angezeigt. Ebenso werden die Details der letzten Dateiprüfung angezeigt, wenn Sie die Zeile für eine Datei in der Tabelle erweitern. Dennoch wird der Verlauf aller vorherigen Überprüfungen für die Datei beibehalten und kann angezeigt werden.
In der folgenden Tabelle wird die Bedeutung der im Blasendiagramm verwendeten Symbole beschrieben.
Symbol Bedeutung

Abbildung eines kleinen Blasensymbols

Eine kleine Blase auf der Zeitachse stellt eine einzelne Überprüfung für eine Datei dar.


Abbildung eines großen Blasensymbols

Eine große Blase auf der Zeitachse stellt mehrere Überprüfungen für eine einzelne Datei dar.

Beispiel: Angenommen, eine .exe-Datei wird über drei Tage auf fünf Gast-VMs extrahiert und NSX hat festgestellt, dass diese Datei verdächtig ist. In diesem Fall wurden fünf eindeutige Dateiüberprüfungen für die .exe-Datei im Datencenter durchgeführt. Eine große Blase wird auf der Zeitachse verdächtiger Dateien beim Zeitstempel der letzten Überprüfung angezeigt. Sie können auf die Blase klicken, um den Verlauf aller fünf Überprüfungen für diese .exe-Datei anzuzeigen.


Abbildung eines Blasengruppensymbols

Eine Gruppe von Blasen auf der Zeitachse stellt mehrere eindeutige Dateiüberprüfungen mit derselben Bewertung dar.

Beispiel: Angenommen, vier eindeutige .docx-Dateien A, B, C und D werden aus dem vertikalen Datenverkehr im Datencenter gleichzeitig (oder nahezu gleichzeitig) extrahiert, und NSX hat festgestellt, dass alle diese Dateien schädlich sind. Die Blasen für alle vier Dateien werden gruppiert und auf der Zeitachse für schädliche Dateien im Blasendiagramm angezeigt.

Seite „Alle Dateien“
Zeigt eine Tabellenansicht aller eindeutigen Dateien an, die im Datencenter extrahiert werden, einschließlich der ungefährlichen Dateien. Das bedeutet, dass auf dieser Seite alle eindeutigen Dateien unabhängig von der Einschätzung der Datei angezeigt werden. Erweitern Sie eine Zeile in der Tabelle, um weitere Details zur Überprüfung der Datei anzuzeigen.

Voraussetzungen

  • NSX Malware-Schutz-Funktion wurde auf der NSX Application Platform erfolgreich aktiviert.
  • Die NSX Malware-Schutz-Funktion ist je nach Ihren Sicherheitsanforderungen auf den ESXi-Hostclustern oder Tier-1-Gateways oder beiden aktiviert.

Prozedur

  1. Melden Sie sich über Ihren Browser bei einem NSX Manager unter https://nsx-manager-ip-address an.
  2. Klicken Sie auf Sicherheit und dann im linken Navigationsbereich auf Malware-Schutz.
    Die Seite Potenzielle Malware wird angezeigt. Das Blasendiagramm und die Tabelle zeigen standardmäßig Dateien an, die in der letzten Stunde extrahiert wurden. Um die Dateien für einen anderen Zeitraum anzuzeigen, klicken Sie auf das Dropdown-Menü in der oberen rechten Ecke auf dieser Seite und wählen Sie einen anderen Zeitraum aus.
  3. (Optional) Klicken Sie auf das Filtersymbol in der oberen rechten Ecke der Seite und wählen Sie die Kriterien zum Filtern der Informationen auf der Seite aus.
    Die Filterkriterien werden sowohl auf das Blasendiagramm als auch auf die Tabelle angewendet. In NSX 4.0 werden die Filterkriterien „Bewertung“ (einschließlich Positivliste) und „SHA256-Hash“ unterstützt. Ab NSX 4.0.1.1 werden die folgenden Filterkriterien ebenfalls unterstützt:
    • Blockiert
    • Dateityp
    • Malware-Klasse
    • Malware-Familie
  4. Überwachen Sie die Dateiereignisse (Prüfungen), die im Dashboard angezeigt werden.
    1. Zeigen Sie auf eine Blase, um die Übersichtsinformationen zu den Überprüfungen für eine Datei in einem Popup-Fenster anzuzeigen.
      Die Informationen im Popup-Fenster variieren je nachdem, ob Sie auf eine kleine Blase, eine große Blase oder eine Gruppe von Blasen zeigen. Wenn Sie beispielsweise auf eine kleine Blase zeigen, zeigt das Popup-Fenster zusammenfassende Informationen über eine einzelne Überprüfung der Datei an.
    2. Bei Bedarf können Sie die Zeitachse in der Blase ziehen, um die Ansicht zu vergrößern oder zu verkleinern.
    3. Mit einem Klick auf eine Blase können Sie direkt zu dieser Datei in der Tabelle springen. Erweitern Sie die Zeile, um vollständige Details zur letzten Prüfung für diese Datei anzuzeigen.
      Bereich Beschreibung

      Dateityp

      Der Dateityp, der auf dem Transportknoten (Host oder Edge) extrahiert wird. Beispiele: PdfDocFile, PeExeFile, ShellScriptFile usw.

      Details des Dateityps

      Kurze Informationen zum Dateityp.

      Client (Letzter)

      Die Zielmaschine, die die Datei bei der letzten Überprüfung erhalten hat.

      Bei Dateien, die auf den Endpoint-VMs im verteilten horizontalen Datenverkehr innerhalb des Datencenters extrahiert werden, ist der Client die Endpoint-VM selbst.

      Bei Dateien, die auf den NSX Edges im vertikalen Datenverkehr extrahiert werden, bestimmt die Richtung des Datenverkehrs den Client.

      Wenn beispielsweise eine VM innerhalb des Datencenters eine Datei auf eine Maschine außerhalb des Datencenters hochlädt, ist der Client der Computer außerhalb des Datencenters. Wenn eine VM innerhalb des Datencenters eine Datei von einem Computer außerhalb des Datencenters herunterlädt, ist der Client die VM innerhalb des Datencenters.

      Server (Letzter)

      Die Quellmaschine, von der die Datei bei der letzten Überprüfung empfangen wurde.

      Bei Dateien, die auf den Endpoint-VMs im verteilten horizontalen Datenverkehr innerhalb des Datencenters extrahiert werden, kann NSX Malware-Schutz die Quelle der Datei nicht ermitteln. Aus diesem Grund ist das Feld „Server (Letzter)“ immer leer.

      Bei Dateien, die auf den NSX Edges im vertikalen Datenverkehr extrahiert werden, bestimmt die Richtung des Datenverkehrs den Server.

      Wenn beispielsweise eine VM innerhalb des Datencenters eine Datei von einem Computer außerhalb des Datencenters herunterlädt, ist der Server der Computer außerhalb des Datencenters. Wenn eine VM innerhalb des Datencenters eine Datei auf einen Computer außerhalb des Datencenters hochlädt, ist der Server die VM innerhalb des Datencenters.

      Dateiname

      Die mit der Datei verknüpften Namen. Eine einzelne Datei hat einen eindeutigen Hash, aber die Clients, die die Datei empfangen haben, speichern die Datei möglicherweise mit unterschiedlichen Namen.

      Protokoll

      Das Protokoll, das für die Dateiübertragung verwendet wird. Beispiele: HTTP, FTP, HTTPS usw.

      Arbeitslasten

      Klicken Sie auf die Zahl neben diesem Feld, um die Liste aller Arbeitslast-VMs im Datencenter anzuzeigen, die von der Datei betroffen sind.

      Alle Überprüfungen

      Klicken Sie auf die Zahl neben diesem Feld, um den Verlauf aller für die Datei durchgeführten Überprüfungen anzuzeigen. Wenn die Datei beispielsweise 10 Mal im Datencenter überprüft wird, wird im Popup-Fenster eine Zusammenfassung aller 10 Überprüfungen angezeigt.

      Firewalltyp

      Der Wert lautet entweder Host oder Edge.

      Wenn die Datei zuletzt von dem ESXi-Host extrahiert wurde, auf dem die verteilte Firewall ausgeführt wird, lautet der Wert Host.

      Wenn die Datei zuletzt von dem Edge extrahiert wurde, auf dem die Gateway-Firewall ausgeführt wird, lautet der Wert Edge.

      Transportknoten

      Die ID des Edge-Transportknotens oder des Host-Transportknotens, in den die Datei bei der letzten Überprüfung extrahiert wurde.

      Zuerst überprüft

      Das Datum und die Uhrzeit der ersten Überprüfung der Datei im Datencenter.

      Zuletzt überprüft

      Das Datum und die Uhrzeit der letzten Überprüfung der Datei im Datencenter.

      Übermittelt von

      Der Wert lautet immer System und bedeutet, dass NSX die Datei für eine detaillierte Analyse an die Cloud übermittelt hat.

      Analyst-UUID

      Die UUID der Dateiübermittlung an die Cloud für eine detaillierte Analyse. Die UUID wird unabhängig davon angezeigt, ob die Datei entweder während der letzten Überprüfung oder bei einer der vorherigen Überprüfungen an die Cloud übermittelt wurde. Wenn die Datei mehrmals an die Cloud übermittelt wurde, wird die UUID der letzten Übermittlung angezeigt.

      Blockiert

      Gibt an, ob die Datei blockiert ist. Der Wert ist entweder „Ja“ oder „Nein“.

    4. (Optional) Führen Sie die folgenden zusätzlichen Aufgaben aus:
  5. Klicken Sie auf die Registerkarte Alle Dateien.
    Auf dieser Seite wird eine Liste aller eindeutigen Dateien angezeigt, die unabhängig von der Bewertung der Datei im Datencenter extrahiert werden. Standardmäßig werden Dateien angezeigt, die in der letzten Stunde extrahiert wurden. Um die Liste der Dateien für einen anderen Zeitraum anzuzeigen, klicken Sie auf das Dropdown-Menü in der oberen rechten Ecke auf dieser Seite und wählen Sie einen anderen Zeitraum aus.