Die Registerkarte Übersicht auf der Seite Analysebericht der NSX Network Detection and Response-Benutzeroberfläche bietet eine Zusammenfassung der Analyseergebnisse für die vom NSX Advanced Threat Prevention-Dienst analysierte Datei.
Um die erkannte Datei auf Ihren lokalen Computer herunterzuladen, klicken Sie auf der rechten Seite des Bildschirms auf . Wählen Sie im Dropdown-Menü Datei herunterladen oder Als ZIP herunterladen aus.
Wenn Sie Als ZIP herunterladen auswählen, wird das Popup-Fenster Datei als ZIP herunterladen angezeigt, in dem Sie aufgefordert werden, ein optionales Kennwort für das Archiv anzugeben. Klicken Sie auf Download, um das Herunterladen der .ZIP-Datei abzuschließen.
Mit der NSX Network Detection and Response-Anwendung können Sie erkannte Dateien nur unter bestimmten Bedingungen herunterladen.
Wenn das Artefakt als gering riskant betrachtet wird, wird angezeigt und Sie können es auf Ihren lokalen Computer herunterladen.
Wenn das Artefakt als riskant betrachtet wird, wird nur angezeigt, wenn Ihre Lizenz über die ALLOW_RISKY_ARTIFACT_DOWNLOADS
-Funktion verfügt.
Sie müssen sich bewusst sein, dass das Artefakt beim Öffnen möglicherweise Schaden anrichten kann.
Die NSX Network Detection and Response-Benutzeroberfläche zeigt möglicherweise das Popup-Fenster Warnung: Bösartige Datei wird heruntergeladen an. Klicken Sie auf die Schaltfläche Ich stimme zu, um die Bedingungen zu akzeptieren und die Datei herunterzuladen.
Bei bösartigen Artefakten empfiehlt es sich, die Datei in ein ZIP-Archiv einzuschließen, um zu verhindern, dass andere Lösungen, die Ihren Datenverkehr überwachen, die Bedrohung automatisch inspizieren.
Wenn Sie nicht über die ALLOW_RISKY_ARTIFACT_DOWNLOADS
-Funktion verfügen und die Möglichkeit benötigen, bösartige Artefakte herunterzuladen, wenden Sie sich an den VMware Support.
Abschnitt „Analyseübersicht“
- MD5 – Der MD5-Hash der Datei. Um nach anderen Instanzen dieses Artefakts in Ihrem Netzwerk zu suchen, klicken Sie auf <Suchsymbol>.
- SHA 1 – Der SHA 1-Hash der Datei.
- SHA 256 – Der SHA 256-Hash der Datei.
- MIME-Typ – Die Bezeichnung, die zur Identifizierung des Datentyps in der Datei verwendet wird.
- Übermittlung – Der Zeitstempel für die Übermittlung
Abschnitt „Bedrohungsstufe“
Der Abschnitt „Bedrohungsstufe“ beginnt mit einer Zusammenfassung der Analyseergebnisse: Der md5-Hash der Datei wurde als bösartig/gutartig eingestuft.
- Risikobewertung
-
In diesem Abschnitt werden die Ergebnisse der Risikobewertung angezeigt.
- Punktzahl für die Böswilligkeit – Legt einen Wert von 100 fest.
- Risikoschätzung – Eine Schätzung der Risiken, die durch dieses Artefakt verursacht werden:
- Hoch – Dieses Artefakt stellt ein kritisches Risiko dar, das Sie mit Priorität beheben müssen. Bei diesen Subjekten handelt es sich in der Regel um Trojanerdateien oder Dokumente, die Exploits enthalten, was zu größeren Kompromittierungen des infizierten Systems führt. Die Risiken sind vielfältig: von Informationsverlusten bis hin zu Systemstörungen. Diese Risiken werden teilweise aus dem erkannten Aktivitätstyp abgeleitet. Der Schwellenwert für die Punktzahl für diese Kategorie ist in der Regel größer als 70.
- Mittel – Dieses Artefakt stellt ein langfristiges Risiko dar, das Sie genau überwachen müssen. Es kann sich um eine Webseite mit verdächtigen Inhalten handeln, die potenziell zu Drive-by-Angriffen führt. Es kann sich auch um eine Adware oder ein gefälschtes Antivirenprodukt handeln, das keine unmittelbare ernsthafte Bedrohung darstellt, aber Probleme mit der Funktion des Systems verursachen kann. Der Schwellenwert für die Punktzahl für diese Kategorie liegt in der Regel zwischen 30 und 70.
- Niedrig – Dieses Artefakt wird als gutartiges Artefakt betrachtet, und Sie können es ignorieren. Der Schwellenwert für die Punktzahl für diese Kategorie liegt in der Regel unter 30.
-
Antivirenklasse – Die Antiviren- oder Malware-Klasse, zu der das Artefakt gehört. Zum Beispiel ein Trojanisches Pferd, ein Wurm, Adware, Ransomware, Spyware und so weiter.
-
Antivirus-Familie – Die Antivirus- oder Malware-Familie, zu der das Artefakt gehört. Beispiel: Valyria, Darkside usw. Um nach anderen Instanzen dieser Familie zu suchen, klicken Sie auf das Suchsymbol.
- Analyseübersicht
-
Die angezeigten Informationen sind nach Schweregrad sortiert und enthalten die folgenden Eigenschaften:
- Schweregrad – Eine Punktzahl zwischen 0 und 100 der Böswilligkeit der Aktivitäten, die während der Analyse des Artefakts erkannt wurden. Die zusätzlichen Symbole geben die Betriebssysteme an, auf denen das Artefakt ausgeführt werden kann.
- Typ – Die Typen von Aktivitäten, die während der Analyse des Artefakts erkannt wurden. Diese Typen beinhalten:
- Autostart – Möglichkeit zum Neustarten nach dem Herunterfahren einer Maschine.
- Deaktivieren – Möglichkeit, kritische Komponenten des Systems zu deaktivieren.
- Evasion – Möglichkeit, die Analyseumgebung zu umgehen.
- Datei – Verdächtige Aktivität über das Dateisystem.
- Arbeitsspeicher – Verdächtige Aktivität innerhalb des Systemarbeitsspeichers.
- Netzwerk – Verdächtige Aktivität auf Netzwerkebene.
- Reputation – Bekannte Quelle oder von der Organisation des Unternehmens signiert.
- Einstellungen – Möglichkeit, kritische Systemeinstellungen dauerhaft zu ändern.
- Signatur – Böswillige Identifizierung von Subjekten.
- Diebstahl – Fähigkeit, auf sensible Informationen zuzugreifen und diese möglicherweise weiterzugeben.
- Tarnung – Fähigkeit, von Benutzern unbemerkt zu bleiben.
- Im Hintergrund – Erkennung eines ungefährlichen Subjekts.
- Beschreibung – Eine Beschreibung, die jedem Aktivitätstyp entspricht, der während der Analyse des Artefakts erkannt wurde.
- ATT&CK-Taktiken – Die MITRE ATT&CK-Phase oder -Phasen eines Angriffs. Mehrere Taktiken werden durch Kommas getrennt.
- ATT&CK-Techniken – Die beobachteten Aktionen oder Tools, die ein böswilliger Akteur verwenden kann. Mehrere Methoden werden durch Kommas getrennt.
- Links – Um nach anderen Instanzen dieser Aktivität zu suchen, klicken Sie auf das Suchsymbol.
- Zusätzliche Artefakte
-
In diesem Abschnitt werden zusätzliche Artefakte (Dateien und URLs) aufgelistet, die während der Analyse des übermittelten Beispiels beobachtet und wiederum für eine eingehende Analyse übermittelt wurden. Dieser Abschnitt enthält die folgenden Eigenschaften:
- Beschreibung – Beschreibt das zusätzliche Artefakt.
- SHA1 – Der SHA1-Hash des zusätzlichen Artefakts.
- Inhaltstyp – Der MIME-Typ des zusätzlichen Artefakts.
- Punktzahl – Die Punktzahl für die Böswilligkeit des zusätzlichen Artefakts. Um den entsprechenden Analysebericht anzuzeigen, klicken Sie auf .
- Entschlüsselte Befehlszeilenargumente
- Wenn während der Analyse PowerShell-Skripts ausgeführt wurden, entschlüsselt das System diese Skripts, damit die Argumente in lesbarerer Form zur Verfügung stehen.
- Drittanbietertools
- Ein Link zu einem Bericht über das Artefakt im Portal „VirusTotal“.