Die Detailansicht der heruntergeladenen Dateien wird in der Liste Heruntergeladene Dateien erweitert.

Je nachdem, welche Registerkarte Sie auf der Seite Heruntergeladene Dateien ausgewählt haben, wird eine Teilmenge der folgenden verfügbaren Details angezeigt.

Detailname

Beschreibung

Analysebericht

Klicken Sie auf den Link oder das Symbol Link-Symbol, um den Analysebericht in einer neuen Registerkarte anzuzeigen.

Dateityp

Der allgemeine Typ der heruntergeladenen Datei. Eine Liste der Dateitypen finden Sie unter Heruntergeladene Dateien im zeitlichen Verlauf.

Details zum Dateityp

Falls verfügbar, finden Sie hier weitere Details zum Dateityp. Beispiel: PE executable, application, 32-bit, Intel i386 oder Zip archive data.

Dateiname

Falls verfügbar, finden Sie hier den Namen der Datei.

Heruntergeladen

Für Downloads vom Typ Eindeutig wird hiermit die Anzahl der Downloads der Datei durch Hosts im Netzwerk angegeben.

Klicken Sie auf die Zahl oder das Symbol Suchen-Symbol, um die Dateidownloads auf der Download-Seite anzuzeigen. Der Link übergibt einen Analyse-UUID-Filter, der die Ansicht auf Downloads der jeweiligen Datei beschränkt.

Heruntergeladen von

Die IP-Adressen der Hosts im Netzwerk, die die Datei heruntergeladen haben.

Falls verfügbar, klicken Sie auf das WHOIS-Symbol, um Registrierungsinformationen und andere Daten zum Host unter WHOIS-Popup-Fenster anzuzeigen.

URL

Die URL des Dateidownloads. Dies ist eine UTF-8-codierte Unicode-Zeichenfolge.

URL

Die Raw-URL des Dateidownloads. Wenn die URL Nicht-ASCII-Zeichen enthält, werden diese sowie der umgekehrte Schrägstrich selbst mit einem umgekehrten Schrägstrich codiert.

Protokoll

Netzwerkprotokolle, die zum Herunterladen der Datei verwendet werden. HTTP/HTTPS, FTP oder SMB.

Heruntergeladen von

IP-Adresse des kontaktierten Hosts.

Falls verfügbar, klicken Sie auf das WHOIS-Symbol, um Registrierungsinformationen und andere Daten zum Host in den WHOIS-Popup-Fenster anzuzeigen.

HTTP-Host

Falls verfügbar, der Domänenname des kontaktierten Hosts. Dieser Name kann von anderen Daten, einschließlich der IP-Adresse, abgeleitet werden.

Falls verfügbar, klicken Sie auf das WHOIS-Symbol, um Registrierungsinformationen und andere Daten zum Host unter WHOIS-Popup-Fenster anzuzeigen.

Benutzer-Agent

Die Zeichenfolge des Benutzer-Agent, die aus der HTTP/HTTPS-Anforderung extrahiert wurde.

Erster Download

Bei eindeutigen Downloads der Zeitstempel der ersten aufgezeichneten Erkennung des Dateidownloads.

Letzter Download

Bei eindeutigen Downloads der Zeitstempel der neuesten Erkennung des Dateidownloads.

Zeitstempel

Der Zeitstempel der Erkennung des Dateidownloads.

Dateigröße

Größe der Datei in Byte.

MD5

Der MD5-Hash der heruntergeladenen Datei.

SHA 1

Der SHA1-Hash der heruntergeladenen Datei.

Übermittlungsstatus

Gibt an, warum die heruntergeladene Datei nicht zur vollständigen Analyse übermittelt wurde. Dies ist in der Regel auf Vorabfilterung oder andere Gründe zurückzuführen. Bewegen Sie den Mauszeiger über das Symbol Fragezeichen-Symbol, um ein Popup mit weiteren Details anzuzeigen.

Analyst-UUID

Der eindeutige Bezeichner, der vom NSX Advanced Threat Prevention-Dienst nach der Verarbeitung der heruntergeladenen Datei zurückgegeben wurde.

Ereignis-ID

Ein Link zum zugehörigen Ereignis für den Dateidownload. Klicken Sie auf die ID oder auf Link-Symbol, um das Ereignis anzuzeigen. Weitere Informationen hierzu finden Sie unter Erkennungsereignisse.

Analyseübersicht

Der Abschnitt „Analyseübersicht“ enthält eine Übersicht über die Ergebnisse der Analyse einer heruntergeladenen Datei durch den NSX Advanced Threat Prevention-Dienst.

Um den vollständigen Analysebericht in einer neuen Registerkarte zu öffnen, klicken Sie auf Symbol Kette in schwarzem Kreis. Siehe Verwenden des Analyseberichts.

Um die erkannte Datei auf Ihren lokalen Computer herunterzuladen, klicken Sie auf der rechten Seite des Bildschirms auf Symbol Dateidownload. Wählen Sie im Dropdown-Menü Datei herunterladen oder Als ZIP herunterladen aus.

Wenn Sie Als ZIP herunterladen auswählen, wird das Popup-Fenster Datei als ZIP herunterladen angezeigt, in dem Sie aufgefordert werden, ein optionales Kennwort für das Archiv anzugeben. Klicken Sie auf Download, um das Herunterladen der .ZIP-Datei abzuschließen.

Wichtig:

Mit der NSX Network Detection and Response-Anwendung können Sie erkannte Dateien nur unter bestimmten Bedingungen herunterladen.

Wenn das Artefakt als gering riskant betrachtet wird, wird Symbol Dateidownload angezeigt und Sie können es auf Ihren lokalen Computer herunterladen.

Wenn das Artefakt als riskant betrachtet wird, wird Symbol Dateidownload nur angezeigt, wenn Ihre Lizenz über die ALLOW_RISKY_ARTIFACT_DOWNLOADS-Funktion verfügt.

Sie müssen sich bewusst sein, dass das Artefakt beim Öffnen möglicherweise Schaden anrichten kann.

Die NSX Network Detection and Response-Benutzeroberfläche zeigt möglicherweise das Popup-Fenster Warnung: Bösartige Datei wird heruntergeladen an. Klicken Sie auf die Schaltfläche Ich stimme zu, um die Bedingungen zu akzeptieren und die Datei herunterzuladen.

Bei bösartigen Artefakten empfiehlt es sich, die Datei in ein ZIP-Archiv einzuschließen, um zu verhindern, dass andere Lösungen, die Ihren Datenverkehr überwachen, die Bedrohung automatisch inspizieren.

Wenn Sie nicht über die ALLOW_RISKY_ARTIFACT_DOWNLOADS-Funktion verfügen und die Möglichkeit benötigen, bösartige Artefakte herunterzuladen, wenden Sie sich an den VMware Support.

Klicken Sie auf Erweitern-Symbol bzw. Reduzieren-Symbol, um die Abschnitte auf der Registerkarte zu erweitern und zu reduzieren.

Der Abschnitt „Analyseübersicht“ enthält eine Zusammenfassung der Analyseergebnisse einer Datei oder URL, die vom NSX Advanced Threat Prevention-Dienst analysiert wird. Im Abschnitt werden die folgenden Daten angezeigt.
  • MD5 – Der MD5-Hash der Datei. Um nach anderen Instanzen dieses Artefakts in Ihrem Netzwerk zu suchen, klicken Sie auf <Suchsymbol>.
  • SHA 1 – Der SHA 1-Hash der Datei.
  • SHA 256 – Der SHA 256-Hash der Datei.
  • MIME-Typ – Die Bezeichnung, die zur Identifizierung des Datentyps in der Datei verwendet wird.
  • Übermittlung – Der Zeitstempel für die Übermittlung

Der Abschnitt „Bedrohungsstufe“ beginnt mit einer Zusammenfassung der Analyseergebnisse: Der md5-Hash der Datei wurde als bösartig/gutartig eingestuft.

Anschließend werden die folgenden Daten angezeigt:
Risikobewertung
In diesem Abschnitt werden die Ergebnisse der Risikobewertung angezeigt.
  • Punktzahl für die Böswilligkeit – Legt einen Wert von 100 fest.
  • Risikoschätzung – Eine Schätzung der Risiken, die durch dieses Artefakt verursacht werden:
    • Hoch – Dieses Artefakt stellt ein kritisches Risiko dar, das Sie mit Priorität beheben müssen. Bei diesen Subjekten handelt es sich in der Regel um Trojanerdateien oder Dokumente, die Exploits enthalten, was zu größeren Kompromittierungen des infizierten Systems führt. Die Risiken sind vielfältig: von Informationsverlusten bis hin zu Systemstörungen. Diese Risiken werden teilweise aus dem erkannten Aktivitätstyp abgeleitet. Der Schwellenwert für die Punktzahl für diese Kategorie ist in der Regel größer als 70.
    • Mittel – Dieses Artefakt stellt ein langfristiges Risiko dar, das Sie genau überwachen müssen. Es kann sich um eine Webseite mit verdächtigen Inhalten handeln, die potenziell zu Drive-by-Angriffen führt. Es kann sich auch um eine Adware oder ein gefälschtes Antivirenprodukt handeln, das keine unmittelbare ernsthafte Bedrohung darstellt, aber Probleme mit der Funktion des Systems verursachen kann. Der Schwellenwert für die Punktzahl für diese Kategorie liegt in der Regel zwischen 30 und 70.
    • Niedrig – Dieses Artefakt wird als gutartiges Artefakt betrachtet, und Sie können es ignorieren. Der Schwellenwert für die Punktzahl für diese Kategorie liegt in der Regel unter 30.

  • Antivirenklasse – Die Antiviren- oder Malware-Klasse, zu der das Artefakt gehört. Zum Beispiel ein Trojanisches Pferd, ein Wurm, Adware, Ransomware, Spyware und so weiter.

  • Antivirus-Familie – Die Antivirus- oder Malware-Familie, zu der das Artefakt gehört. Beispiel: Valyria, Darkside usw. Um nach anderen Instanzen dieser Familie zu suchen, klicken Sie auf das Suchsymbol.

Analyseübersicht
Die angezeigten Informationen sind nach Schweregrad sortiert und enthalten die folgenden Eigenschaften:
  • Schweregrad – Eine Punktzahl zwischen 0 und 100 der Böswilligkeit der Aktivitäten, die während der Analyse des Artefakts erkannt wurden. Die zusätzlichen Symbole geben die Betriebssysteme an, auf denen das Artefakt ausgeführt werden kann.
  • Typ – Die Typen von Aktivitäten, die während der Analyse des Artefakts erkannt wurden. Diese Typen beinhalten:
    • Autostart – Möglichkeit zum Neustarten nach dem Herunterfahren einer Maschine.
    • Deaktivieren – Möglichkeit, kritische Komponenten des Systems zu deaktivieren.
    • Evasion – Möglichkeit, die Analyseumgebung zu umgehen.
    • Datei – Verdächtige Aktivität über das Dateisystem.
    • Arbeitsspeicher – Verdächtige Aktivität innerhalb des Systemarbeitsspeichers.
    • Netzwerk – Verdächtige Aktivität auf Netzwerkebene.
    • Reputation – Bekannte Quelle oder von der Organisation des Unternehmens signiert.
    • Einstellungen – Möglichkeit, kritische Systemeinstellungen dauerhaft zu ändern.
    • Signatur – Böswillige Identifizierung von Subjekten.
    • Diebstahl – Fähigkeit, auf sensible Informationen zuzugreifen und diese möglicherweise weiterzugeben.
    • Tarnung – Fähigkeit, von Benutzern unbemerkt zu bleiben.
    • Im Hintergrund – Erkennung eines ungefährlichen Subjekts.
  • Beschreibung – Eine Beschreibung, die jedem Aktivitätstyp entspricht, der während der Analyse des Artefakts erkannt wurde.
  • ATT&CK-Taktiken – Die MITRE ATT&CK-Phase oder -Phasen eines Angriffs. Mehrere Taktiken werden durch Kommas getrennt.
  • ATT&CK-Techniken – Die beobachteten Aktionen oder Tools, die ein böswilliger Akteur verwenden kann. Mehrere Methoden werden durch Kommas getrennt.
  • Links – Um nach anderen Instanzen dieser Aktivität zu suchen, klicken Sie auf das Suchsymbol.
Zusätzliche Artefakte
In diesem Abschnitt werden zusätzliche Artefakte (Dateien und URLs) aufgelistet, die während der Analyse des übermittelten Beispiels beobachtet und wiederum für eine eingehende Analyse übermittelt wurden. Dieser Abschnitt enthält die folgenden Eigenschaften:
  • Beschreibung – Beschreibt das zusätzliche Artefakt.
  • SHA1 – Der SHA1-Hash des zusätzlichen Artefakts.
  • Inhaltstyp – Der MIME-Typ des zusätzlichen Artefakts.
  • Punktzahl – Die Punktzahl für die Böswilligkeit des zusätzlichen Artefakts. Um den entsprechenden Analysebericht anzuzeigen, klicken Sie auf Symbol Analysebericht.
Entschlüsselte Befehlszeilenargumente
Wenn während der Analyse PowerShell-Skripts ausgeführt wurden, entschlüsselt das System diese Skripts, damit die Argumente in lesbarerer Form zur Verfügung stehen.
Drittanbietertools
Ein Link zu einem Bericht über das Artefakt im Portal „VirusTotal“.