Sie greifen auf die Seitenleiste Ereignisübersicht zu, wenn Sie im Widget Erkennungsereignisse auf der Seite NSX Network Detection and ResponseEreignisse auf eine Eingabezeile klicken.
Im folgenden Abschnitt wird beschrieben, was auf dieser Seitenleiste angezeigt wird. Nach dem oberen Abschnitt werden in den nachfolgenden Abschnitten unterstützende Daten angezeigt. Einige Abschnitte werden nur angezeigt, wenn relevante Daten verfügbar sind.
- Oberster Abschnitt
-
Der Anfang der Seitenleiste enthält Folgendes:
-
Um die Seitenleiste zu schließen, klicken Sie auf das Symbol .
Um das Ereignis auf der Seite Ereignisprofil anzuzeigen, klicken Sie auf Details . Weitere Informationen hierzu finden Sie unter Seite „Ereignisprofil“.
Falls verfügbar, wird eine kurze Beschreibung des Ereignisses bereitgestellt. Sie enthält eine Erklärung darüber, warum das System dieses Ereignis markiert hat, identifiziert die mit diesem Ereignis verbundene Bedrohung oder Malware und beschreibt kurz die erkannte Aktivität.
-
- Bedrohungsdetails
-
Dieser Abschnitt enthält die folgenden Informationen.
Name der Bedrohungsdetails
Beschreibung
Bedrohung
Name des erkannten Sicherheitsrisikos.
Bedrohungsklasse
Name der erkannten Sicherheitsrisikoklasse.
Ereigniserknnung
Der Name des Ereigniserkennungsgeräts. Klicken Sie auf den Link, um das Popup-Fenster Detektor anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation.
Wenn kein Detektor für das Ereignis vorhanden ist, wird dieser Abschnitt nicht angezeigt.
Auswirkung
Der Wert der Auswirkung gibt die kritische Stufe der erkannten Bedrohung an und liegt zwischen 1 und 100.
Bedrohungen ab 70 werden als kritisch betrachtet.
Bedrohungen zwischen 30 und 69 gelten als mittleres Risiko.
Bedrohungen zwischen 1 und 29 gelten als harmlose Bedrohungen.
Aktion
Eine Liste der vom Sensor durchgeführten Aktionen (z. B. alle blockierenden Aktivitäten, ob das Ereignis protokolliert wird, ob Datenverkehr erfasst wurde oder ein Malware-Download extrahiert wurde).
Ergebnis
Das Ergebnis des Ereignisses. In den meisten Fällen ist dies „Erkennung“.
Für Info-Ereignisse und Ereignisse, die vom Info-Status heraufgestuft wurden, gibt eine zusätzliche Bezeichnung den Grund für den Status bzw. die Statusänderung an. Wenn Sie den Mauszeiger über die Bezeichnung bewegen, wird ein Popup-Fenster mit zusätzlichen Details zur Ursache angezeigt.
Erste Erkennung Letzte Erkennung
Ein Diagramm mit dem Zeitstempel, wann der Nachweis zum ersten und letzten Mal angezeigt wurde.
Die Informationen zur Dauer werden unterhalb des Diagramms angezeigt.
- Ereignisdatenverkehr
-
Das Widget Ereignisdatenverkehr bietet einen Überblick über den Datenverkehr, der zwischen den am Ereignis beteiligten Hosts beobachtet wird. Mindestens ein an dem Ereignis beteiligter Host ist ein überwachter Host. Der kommunizierende Host kann ein überwachter Host oder ein externes System sein. Ein Link zum Anzeigen des erfassten Datenverkehrs wird angezeigt, wenn die Daten verfügbar sind.
Der Pfeil gibt die Datenverkehrsrichtung zwischen den Hosts an.
Für jeden Host wird die IP-Adresse angezeigt. Wenn der Host lokal ist, handelt es sich bei der Adresse um einen Link, auf den Sie klicken können, um die Seite Hostprofil anzuzeigen. Möglicherweise wird ein Geostandort-Flag, oder angezeigt. Es werden möglicherweise mehrere Symbole angezeigt. Falls verfügbar, wird ein Hostname angezeigt. Falls aus der DHCP-Datenverkehrsüberwachung verfügbar, wird die MAC-Adresse des Hosts angezeigt. Alle auf den Host angewendeten Host-Tags werden angezeigt. Falls verfügbar, klicken Sie auf ,um die Hostdetails im Popup-Fenster WHOIS anzuzeigen.
- Ereignisnachweis
-
Im Abschnitt „Ereignisnachweis“ werden verschiedene Aktionen aufgelistet, die bei der Analyse des Ereignisses beobachtet wurden. Klicken Sie für weitere Details auf den Link Ereignisdetails, um den Ereignisnachweis anzuzeigen.
Zu den Aktionen gehören „Signatur“, „Reputation“, „Ungewöhnliches Verhalten“, „Dateidownload“, „URL-Pfad-Übereinstimmung“, „Verifizierung“, „Anomalie“ usw. Falls angegeben, klicken Sie auf den Link, um das entsprechende Detektor-Popup-Fenster anzuzeigen. Für jede Aktion wird ein Konfidenzwert angezeigt.
- Malware-Identifikation
-
Wenn die NSX Malware-Schutz-Anwendung aktiviert ist, wird eine Zusammenfassung der erkannten Malware angezeigt. Klicken Sie für weitere Details auf den Link Analysebericht , um den Analysebericht anzuzeigen. Weitere Informationen hierzu finden Sie unter Verwenden des Analyseberichts.
Detailname
Beschreibung
Antivirusklasse
Eine Bezeichnung, die die Antivirenklasse der heruntergeladenen Datei definiert.
Antivirusfamilie
Eine Bezeichnung, die die Antivirusfamilie der heruntergeladenen Datei definiert.
Malware
Eine Bezeichnung, die den Malware-Typ der heruntergeladenen Datei definiert. Wenn die Bezeichnung über ein verfügt, können Sie darauf klicken, um eine Pop-up-Beschreibung zu erhalten.
Verhaltensübersicht
Das erkannte Verhalten der heruntergeladenen Datei. Wenn viele Daten vorhanden sind, wird standardmäßig eine Teilliste angezeigt. Klicken Sie auf Erweitern , um weitere Details anzuzeigen. Schalten Sie die Option erneut um, indem Sie auf Weniger klicken.
- Ereignis-URLs
-
Im Abschnitt „Ereignis-URLs“ werden alle URLs angezeigt, die im Ereignis erkannt wurden. Dieser Abschnitt wird nur angezeigt, wenn das Ereignis einer URL zugeordnet ist.
- Ereignismetadaten
-
Im Abschnitt „Ereignismetadaten“ werden die folgenden Daten angezeigt.
Datenname
Beschreibung
Zugehöriger Vorfall
Klicken Sie auf das , um den zugehörigen Vorfall anzuzeigen, sofern verfügbar.
Verbindungen
Die Anzahl der Verbindungen, die im Ereignis enthalten sind.
Zugehörige Aktivität
Klicken Sie auf das , um die zugehörige Aktivität anzuzeigen, sofern verfügbar.