Sie greifen auf die Seitenleiste Ereignisübersicht zu, wenn Sie im Widget Erkennungsereignisse auf der Seite NSX Network Detection and ResponseEreignisse auf eine Eingabezeile klicken.

Im folgenden Abschnitt wird beschrieben, was auf dieser Seitenleiste angezeigt wird. Nach dem oberen Abschnitt werden in den nachfolgenden Abschnitten unterstützende Daten angezeigt. Einige Abschnitte werden nur angezeigt, wenn relevante Daten verfügbar sind.

Oberster Abschnitt

Der Anfang der Seitenleiste enthält Folgendes:

  • Um die Seitenleiste zu schließen, klicken Sie auf das Symbol Schließen-Symbol.

  • Um das Ereignis auf der Seite Ereignisprofil anzuzeigen, klicken Sie auf Details Pfeil nach rechts. Weitere Informationen hierzu finden Sie unter Seite „Ereignisprofil“.

  • Falls verfügbar, wird eine kurze Beschreibung des Ereignisses bereitgestellt. Sie enthält eine Erklärung darüber, warum das System dieses Ereignis markiert hat, identifiziert die mit diesem Ereignis verbundene Bedrohung oder Malware und beschreibt kurz die erkannte Aktivität.

Bedrohungsdetails

Dieser Abschnitt enthält die folgenden Informationen.

Name der Bedrohungsdetails

Beschreibung

Bedrohung

Name des erkannten Sicherheitsrisikos.

Bedrohungsklasse

Name der erkannten Sicherheitsrisikoklasse.

Ereigniserknnung

Der Name des Ereigniserkennungsgeräts. Klicken Sie auf den Link, um das Popup-Fenster Detektor anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation.

Wenn kein Detektor für das Ereignis vorhanden ist, wird dieser Abschnitt nicht angezeigt.

Auswirkung

Der Wert der Auswirkung gibt die kritische Stufe der erkannten Bedrohung an und liegt zwischen 1 und 100.

  • Bedrohungen ab 70 werden als kritisch betrachtet.

  • Bedrohungen zwischen 30 und 69 gelten als mittleres Risiko.

  • Bedrohungen zwischen 1 und 29 gelten als harmlose Bedrohungen.

Aktion

Eine Liste der vom Sensor durchgeführten Aktionen (z. B. alle blockierenden Aktivitäten, ob das Ereignis protokolliert wird, ob Datenverkehr erfasst wurde oder ein Malware-Download extrahiert wurde).

Ergebnis

Das Ergebnis des Ereignisses. In den meisten Fällen ist dies „Erkennung“.

Für Info-Ereignisse und Ereignisse, die vom Info-Status heraufgestuft wurden, gibt eine zusätzliche Bezeichnung den Grund für den Status bzw. die Statusänderung an. Wenn Sie den Mauszeiger über die Bezeichnung bewegen, wird ein Popup-Fenster mit zusätzlichen Details zur Ursache angezeigt.

Erste Erkennung Letzte Erkennung

Ein Diagramm mit dem Zeitstempel, wann der Nachweis zum ersten und letzten Mal angezeigt wurde.

Die Informationen zur Dauer werden unterhalb des Diagramms angezeigt.

Ereignisdatenverkehr

Das Widget Ereignisdatenverkehr bietet einen Überblick über den Datenverkehr, der zwischen den am Ereignis beteiligten Hosts beobachtet wird. Mindestens ein an dem Ereignis beteiligter Host ist ein überwachter Host. Der kommunizierende Host kann ein überwachter Host oder ein externes System sein. Ein Link zum Anzeigen des erfassten Datenverkehrs wird angezeigt, wenn die Daten verfügbar sind.

Der Pfeil gibt die Datenverkehrsrichtung zwischen den Hosts an.

Für jeden Host wird die IP-Adresse angezeigt. Wenn der Host lokal ist, handelt es sich bei der Adresse um einen Link, auf den Sie klicken können, um die Seite Hostprofil anzuzeigen. Möglicherweise wird ein Geostandort-Flag, Startseiten-Symbol oder Netzwerksymbol angezeigt. Es werden möglicherweise mehrere Symbole angezeigt. Falls verfügbar, wird ein Hostname angezeigt. Falls aus der DHCP-Datenverkehrsüberwachung verfügbar, wird die MAC-Adresse des Hosts angezeigt. Alle auf den Host angewendeten Host-Tags werden angezeigt. Falls verfügbar, klicken Sie auf WHOIS-Symbol,um die Hostdetails im Popup-Fenster WHOIS anzuzeigen.

Ereignisnachweis

Im Abschnitt „Ereignisnachweis“ werden verschiedene Aktionen aufgelistet, die bei der Analyse des Ereignisses beobachtet wurden. Klicken Sie für weitere Details auf den Link Ereignisdetails, um den Ereignisnachweis anzuzeigen.

Zu den Aktionen gehören „Signatur“, „Reputation“, „Ungewöhnliches Verhalten“, „Dateidownload“, „URL-Pfad-Übereinstimmung“, „Verifizierung“, „Anomalie“ usw. Falls angegeben, klicken Sie auf den Link, um das entsprechende Detektor-Popup-Fenster anzuzeigen. Für jede Aktion wird ein Konfidenzwert angezeigt.

Malware-Identifikation

Wenn die NSX Malware-Schutz-Anwendung aktiviert ist, wird eine Zusammenfassung der erkannten Malware angezeigt. Klicken Sie für weitere Details auf den Link Analysebericht rechter Pfeilkopf, um den Analysebericht anzuzeigen. Weitere Informationen hierzu finden Sie unter Verwenden des Analyseberichts.

Detailname

Beschreibung

Antivirusklasse

Eine Bezeichnung, die die Antivirenklasse der heruntergeladenen Datei definiert.

Antivirusfamilie

Eine Bezeichnung, die die Antivirusfamilie der heruntergeladenen Datei definiert.

Malware

Eine Bezeichnung, die den Malware-Typ der heruntergeladenen Datei definiert. Wenn die Bezeichnung über ein Tag-Symbol verfügt, können Sie darauf klicken, um eine Pop-up-Beschreibung zu erhalten.

Verhaltensübersicht

Das erkannte Verhalten der heruntergeladenen Datei. Wenn viele Daten vorhanden sind, wird standardmäßig eine Teilliste angezeigt. Klicken Sie auf ErweiternPfeil nach unten , um weitere Details anzuzeigen. Schalten Sie die Option erneut um, indem Sie auf WenigerPfeil nach oben klicken.

Ereignis-URLs

Im Abschnitt „Ereignis-URLs“ werden alle URLs angezeigt, die im Ereignis erkannt wurden. Dieser Abschnitt wird nur angezeigt, wenn das Ereignis einer URL zugeordnet ist.

Ereignismetadaten

Im Abschnitt „Ereignismetadaten“ werden die folgenden Daten angezeigt.

Datenname

Beschreibung

Zugehöriger Vorfall

Klicken Sie auf das Link-Symbol, um den zugehörigen Vorfall anzuzeigen, sofern verfügbar.

Verbindungen

Die Anzahl der Verbindungen, die im Ereignis enthalten sind.

Zugehörige Aktivität

Klicken Sie auf das Link-Symbol, um die zugehörige Aktivität anzuzeigen, sofern verfügbar.