Auf der Registerkarte Nachweise der Seite Details zur Aktivität der NSX Network Detection and Response-Benutzeroberfläche wird eine Liste der für die aktuell ausgewählte Aktivität erkannten Nachweise angezeigt.
Jede Zeile ist eine Zusammenfassung der Nachweise für die Aktivität. Klicken Sie auf das (oder an einer beliebigen Stelle in eine Eingabezeile), um die Zeile zu erweitern und die Informationen zu den Signaturnachweisen anzuzeigen.
Die Nachweisliste enthält die folgenden Spalten.
Nachweisspalten |
Beschreibung |
---|---|
IP-Adresse |
Die IP-Adresse des Hosts, der die Quelle der Bedrohung ist. |
Erste Erkennung |
Zeitstempel, der die Startzeit der Aktivität anzeigt. |
Letzte Erkennung |
Zeitstempel, der die letzte aktive Aktion der Aktivität anzeigt. |
Bedrohung |
Name des erkannten Sicherheitsrisikos. |
Bedrohungsklasse |
Name der erkannten Sicherheitsrisikoklasse. |
Auswirkung |
Der Auswirkungswert gibt die kritische Stufe der erkannten Bedrohung an und liegt zwischen 1 und 100:
Wenn das [Blockiert-Symbol] angezeigt wird, bedeutet dies, dass das Artefakt blockiert wurde. |
Nachweise |
Der abgeleitete Wert der Nachweise für die Aktivität. Weitere Informationen finden Sie unter Informationen zu Nachweisen. |
Subjekt |
Zusätzliche Informationen aus der Aktivität. Dies kann eine IP-Adresse, ein HTTP-Antwortcode oder einige andere Daten sein. |
Verweis |
Klicken Sie auf den Link, um auf die Seite Netzwerkereignisdetails zuzugreifen. Der Link wird auf einer neuen Browserregisterkarte geöffnet. Weitere Informationen finden Sie unter Seite „Ereignisprofil“. |
Vorfall-ID |
Ein Permalink zu einem korrelierten Vorfall. Der Link wird auf einer neuen Browserregisterkarte geöffnet. Siehe Verwalten der Seite „Vorfälle“. |
Klicken Sie auf das Symbol , um die anzuzeigenden Spalten zu ändern. Standardmäßig werden alle verfügbaren Spalten angezeigt.
Wenn Sie auf das klicken (oder an einer beliebigen Stelle in einer Nachweiszeile), werden die folgenden Informationen angezeigt.
Informationsname |
Beschreibung |
---|---|
Bedrohung |
Name des erkannten Sicherheitsrisikos. |
Bedrohungsklasse |
Name der erkannten Sicherheitsrisikoklasse. |
Auswirkung |
Die Auswirkungsbewertung der Aktivität. |
Detektor |
Falls vorhanden, wird das NSX Network Detection and Response-Modul angezeigt, das die Bedrohung identifiziert hat. Klicken Sie auf den Link, um das Popup-Fenster Detektor anzuzeigen. |
Netzwerkerkennung anzeigen |
Falls vorhanden, wird das NSX Network Detection and Response-Modul angezeigt, das die Bedrohung identifiziert hat. Klicken Sie auf den Link, um das Popup-Fenster „Detektor“ anzuzeigen. |
Vorfall anzeigen |
Klicken Sie auf den Link, um auf die Seite „Netzwerkereignisdetails“ zuzugreifen. Der Link wird auf einer neuen Browserregisterkarte geöffnet. Siehe Seite „Ereignisprofil“. |
Erste Erkennung |
Zeitstempel, der die Startzeit der Aktivität anzeigt. |
Letzte Erkennung |
Zeitstempel, der die letzte aktive Aktion der Aktivität anzeigt. |
Schweregrad |
Eine Schätzung, wie kritisch die erkannte Bedrohung ist. Beispielsweise wird eine Verbindung zu einem Befehl und einem Steuerungsserver in der Regel als hoher Schweregrad betrachtet, da die Verbindung potenziell schädlich ist. |
Konfidenz |
Gibt die Wahrscheinlichkeit an, dass die erkannte individuelle Bedrohung böswillig ist. Da das System fortschrittliche Heuristiken verwendet, um unbekannte Bedrohungen zu erkennen, kann die erkannte Bedrohung in einigen Fällen einen niedrigeren Konfidenzwert haben, wenn die Menge der für diese spezifische Bedrohung verfügbaren Informationen begrenzt ist. |