Von NSX Network Detection and Response erkannte Bedrohungen werden auf der Registerkarte Bedrohungen der Seite Hostprofil durch Bedrohungskarten dargestellt.
Eine Bedrohungskarte zeigt die berechnete Bedrohungspunktzahl, den Bedrohungsnamen und die Klasse, das Erkennungsergebnis (sofern verfügbar), den Bedrohungsstatus und andere Aktionen an. Wenn verfügbar, wird die Aktivität angezeigt, mit der diese Bedrohung verbunden ist. Erweitern Sie die Karte, um die zugehörigen Nachweise anzuzeigen.
Verwenden Sie das Dropdown-Menü Sortieren nach, um die Bedrohungskarten zu sortieren. Sie können zwischen Jüngste, Früheste, Höchste Auswirkung (Standardeinstellung) und Geringste Auswirkung wählen.
Das Textfeld Bedrohungen suchen ermöglicht eine schnelle Suche direkt nach der Eingabe. Dabei werden die Zeilen in der Liste gefiltert, sodass nur die Zeilen angezeigt werden, die in einem beliebigen Feld Text enthalten, der mit der von Ihnen angegebenen Abfragezeichenfolge übereinstimmt.
Schalten Sie die Schaltfläche Geschlossene Bedrohungen anzeigen ein, um die angezeigten Bedrohungskarten nach dem Bedrohungsstatus zu filtern. Standardmäßig werden alle Bedrohungen angezeigt.
Verwalten der Bedrohungskarten
Die Bedrohungskarten zeigen alle Bedrohungen im Zusammenhang mit dem ausgewählten Host und ihre entsprechenden Bedrohungsstufen an. Jede Karte zeigt die berechnete Bedrohungsauswirkung, den Bedrohungsnamen, die Bedrohungsklasse und, falls verfügbar, das Erkennungsergebnis an. Außerdem wird der Status der Bedrohung angezeigt: Offen oder Geschlossen.
Klicken Sie auf Nächste Schritte und wählen Sie eine Aktion aus dem Dropdown-Menü.
Wählen Sie Schließen, um die Bedrohung zu schließen. Wählen Sie Öffnen, um eine geschlossene Bedrohung erneut zu öffnen.
Wählen Sie Warnung verwalten aus, um eine Warnungsverwaltungsregel für die Bedrohung zu erstellen.
Der Abschnitt Nachweisübersicht enthält eine Übersicht über die Nachweise und andere Daten, die für die Bedrohung erkannt wurden. Klicken Sie auf das Symbol mit dem oder fast überall sonst auf der Karte, um die Nachweisdetails zu erweitern.
Wenn Aktivitätsdaten im Zusammenhang mit dieser Bedrohung verfügbar sind, wird die Aktivität mit einem Link zur Seitenleiste der Aktivitätsübersicht angezeigt.
Nachweisdetails
In der Spalte Nachweis werden die Dateidownloads, Signaturen und andere Kategorien des Nachweistyps sowie ein Zeitstempel für den Zeitpunkt des Auftretens des Nachweises angezeigt. Wenn Sie auf den Link „Nachweistyp“ klicken, wird die entsprechende Seitenleiste Nachweiszusammenfassung für diesen Typ rechts auf der Seite angezeigt. Die Seitenleiste Nachweiszusammenfassung ist für die folgenden Nachweistypen verfügbar.
Anomalie
Dateidownload
Signatur
In der Spalte Netzwerkinteraktionen und Netzwerk-IOCs wird die IP-Adresse oder der Domänenname externer Hosts angezeigt. Wenn Sie auf den Link klicken, wird die Seitenleiste für Netzwerkinteraktion erweitert.
Die Spalte Unterstützungsdaten enthält einen Link zu den Erkennungsereignissen sowie einen Link zu den Bedrohungsdetails.
Erkennungsergebnisse
Die Ergebnisse von Bedrohungserkennungsereignissen weisen die folgenden möglichen Werte auf, die in der Reihenfolge ihres Schweregrads aufgeführt sind.
Erkennungsergebnis |
Beschreibung |
---|---|
Erfolg |
Es wurde festgestellt, dass die Bedrohung ihr Ziel erreicht hat. Dies könnte bedeuten, dass sein Anmeldeversuch beim C&C-Server abgeschlossen wurde und Daten vom böswilligen Endpoint empfangen wurden. |
Fehlgeschlagen |
Die Bedrohung konnte ihr Ziel nicht erreichen. Dies kann darauf zurückzuführen sein, dass der C&C-Server offline ist, der Angreifer Codierungsfehler gemacht hat usw. |
Blockiert |
Die Bedrohung wurde von der NSX Network Detection and Response-Anwendung oder von einer Drittanbieteranwendung blockiert. |
Wenn das Ereignisergebnis unbekannt ist, wird dieses Feld nicht angezeigt.
Seitenleiste für Netzwerkinteraktion
Sie erweitern die Netzwerkinteraktion-Seitenleiste, indem Sie in der Spalte Netzwerkinteraktionen und Netzwerk-IOCs der Registerkarte Bedrohungen auf den Link IP-Adresse oder Domänenname für einen bestimmten Host klicken.
Die Auswirkungen und die IP-Adresse des ausgewählten Hosts werden oben in der Seitenleiste angezeigt.
WHOIS-Übersicht
Im Abschnitt WHOIS-Übersicht werden Schlüsselfelder aus dem WHOIS-Datensatz für die ausgewählte IP-Adresse oder den ausgewählten Domänennamen angezeigt. Klicken Sie auf das Symbol , um auf das Popup-Fenster WHOIS zuzugreifen, um weitere Details zur IP-Adresse oder Domäne anzuzeigen. Einzelheiten dazu finden Sie unter WHOIS-Popup-Fenster.
Öffnen in
Der Öffnen in... Abschnitt enthält Links zu Drittanbietern wie DomainTools, VirusTotal, Google usw. Wenn es mehr Anbieter gibt, als in die Ansicht passen, können Sie auf Erweitern klicken, um sie anzuzeigen.
Übersicht der Anomalie-Nachweise in der Seitenleiste
Die Seitenleiste Nachweisübersicht für den Beweistyp „Anomalie“ wird angezeigt, wenn Sie in der Spalte „Nachweis“ der Registerkarte Bedrohungen auf den Link für einen Anomalie-Nachweis klicken.
Klicken Sie auf Referenzereignis , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.
Eine kurze Beschreibung der Nachweise wird bereitgestellt.
Bedrohungsdetails
- Bedrohung – Name des erkannten Sicherheitsrisikos.
- Bedrohungsklasse – Name der erkannten Sicherheitsrisikoklasse.
- Zuerst gesehen Zuletzt gesehen – Ein Diagramm mit dem Zeitstempel, wann der Nachweis zuerst und zuletzt gesehen wurde. Die Dauer wird unterhalb des Diagramms angezeigt.
Übersicht zum Detektor
- Detektorname – Der Name des Detektors.
- Ziel – Kurze Beschreibung des Ziels des Detektors.
- ATT&CK-Kategorisierung – Sofern zutreffend, wird ein Link zur MITRE ATT&CK-Technik bereitgestellt. Andernfalls wird N/A angezeigt.
Anomaliedetails
Detail | Beschreibung |
---|---|
Beschreibung | Eine kurze Beschreibung der Anomalie, die angibt, wie sie vom Baseline-Verhalten abweicht oder warum sie als verdächtig betrachtet werden sollte. |
Zustandstyp | Der Typ der Anomalie. Zum Beispiel: Ausreißer. |
Anomalie | Das anomale Element, das auf dem Host beobachtet wurde. Beispiel: Zugriff auf einen ungewöhnlichen Port. |
Baselineelemente | Die Elemente, die typischerweise auf diesem Host beobachtet werden. |
Profil erstellt um | Zeitstempel für die Erstellung der Baseline. |
Profil aktualisiert um | Zeitstempel zum Zeitpunkt der Erkennung der Anomalie. |
Ausreißerdiagramm | Das Diagramm veranschaulicht den normalen Daten-Upload/Download für den Host zum Vergleich mit der Datenübertragung, die als anomal gekennzeichnet wurde. Je nach Detektor können die folgenden Daten angezeigt werden
|
Seitenleiste „Nachweisübersicht“ für Dateidownload
Die Seitenleiste Nachweisübersicht für einen „Dateidownload“-Nachweistyp wird angezeigt, wenn Sie auf den Link für den Nachweis eines Dateidownloads in der Spalte „Nachweise“ der Registerkarte Bedrohungen klicken.
Klicken Sie auf Referenzereignis , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.
Eine kurze Beschreibung der Nachweise wird bereitgestellt.
Dateidetails
- Dateityp – Der allgemeine Typ der heruntergeladenen Datei. Eine Liste der Dateitypen finden Sie unter Registerkarte „Eindeutig“.
- Konfidenz – Gibt die Wahrscheinlichkeit an, dass die heruntergeladene Datei böswillig ist. Da das System erweiterte Heuristiken verwendet, um unbekannte Bedrohungen zu erkennen, kann die erkannte Bedrohung in einigen Fällen einen niedrigeren Konfidenzwert haben, wenn die Menge der für diese spezifische Bedrohung verfügbaren Informationen begrenzt ist.
- SHA1 – Der SHA1-Hash der Datei.
Malware-Identifikation
- Antivirusklasse – Eine Bezeichnung, die die Antivirusklasse der heruntergeladenen Datei definiert.
- Antivirusfamilie – Eine Bezeichnung, die die Antivirusfamilie der heruntergeladenen Datei definiert.
- Malware – Eine Bezeichnung, die den Malware-Typ der heruntergeladenen Datei definiert. Wenn die Bezeichnung über das Symbol verfügt, klicken Sie auf das Symbol, um die Beschreibung in einem Popup-Fenster anzuzeigen.
- Verhaltensübersicht – Das erkannte Verhalten der heruntergeladenen Datei. Wenn viele Daten vorhanden sind, wird standardmäßig eine Teilliste angezeigt. Klicken Sie auf Erweitern , um weitere Details anzuzeigen. Schalten Sie die Option erneut um, indem Sie auf Weniger klicken.
Öffnen in ...
Um die heruntergeladene Datei in einem bestimmten Dienst zu öffnen, klicken Sie auf eines der Symbole für die Anbieter. Standardmäßig wird hier eine Teilliste der Anbieter angezeigt.
Details herunterladen
Info | Beschreibung |
---|---|
Dateiname | Der Ressourcenpfad zur heruntergeladenen Datei. |
URL | Die vollständige URL zur heruntergeladenen Datei. |
Erste Erkennung | Der Zeitstempel, wann die heruntergeladene Datei zum ersten Mal angeezeigt wurde. Wenn mehrere Instanzen dieser Datei vorhanden sind, ist dies ein Bereich von Zeitstempeln. |
Heruntergeladen von | Die IP-Adresse des Quellservers. |
Protokoll | Das Protokoll, das zum Übertragen der heruntergeladenen Datei vom Quellserver verwendet wurde. |
Benutzer-Agent | Falls verfügbar, wird die Zeichenfolge des Benutzer-Agent für die Downloadanforderung angezeigt. |
Seitenleiste für die Nachweiszusammenfassung von Signaturen
Die Seitenleiste Nachweiszusammenfassung für den Nachweistyp „Signatur“ wird angezeigt, wenn Sie in der Spalte „Nachweis“ der Registerkarte Bedrohungen auf den Link „Signatur“ klicken.
Klicken Sie auf Referenzereignis , um auf die Seite Ereignisprofil und die vollständigen Details des zugehörigen Ereignisses zuzugreifen.
Eine kurze Beschreibung der Nachweise wird bereitgestellt.
Bedrohungsdetails
Die folgenden Details werden zu der Bedrohung bereitgestellt.
Detail |
Beschreibung |
---|---|
Bedrohung |
Name des erkannten Sicherheitsrisikos. |
Bedrohungsklasse |
Name der erkannten Sicherheitsrisikoklasse. |
Aktivität |
Zeigt, falls vorhanden, die erkannte aktuelle Aktivität der Bedrohung an. |
Konfidenz |
Gibt die Wahrscheinlichkeit an, dass die erkannte Bedrohung böswillig ist. Bei Ereignissen, bei denen Analyseergebnisse angezeigt werden, z. B. bei einem Dateidownload, wird eine Punktzahl angezeigt. |
Erste Erkennung Letzte Erkennung |
Ein Diagramm mit dem Zeitstempel, wann der Nachweis zum ersten und letzten Mal angezeigt wurde. Die Dauer wird unterhalb des Diagramms angezeigt. |
Datenverkehrsdetails
Das Widget Referenzereignis-Datenverkehr bietet einen Überblick über den beobachteten Datenverkehr zwischen den an dem referenzierten Ereignis beteiligten Hosts. Mindestens ein an dem Ereignis beteiligter Host ist ein überwachter Host. Der kommunizierende Host kann ein überwachter Host oder ein externes System sein.
Der Pfeil gibt die Datenverkehrsrichtung zwischen den Hosts an.
Für jeden Host wird die IP-Adresse angezeigt. Bei einem lokalen Host wird die Adresse als Link angezeigt, auf den Sie klicken können, um die Hostprofilseite anzuzeigen. Möglicherweise wird ein Geostandort-Flag, , oder Symbol angezeigt. Es können mehrere angezeigt werden. Falls verfügbar, wird ein Hostname angezeigt. Alle auf den Host angewendeten Host-Tags werden angezeigt. Wenn verfügbar, klicken Sie auf das Symbol , um die Hostdetails im Popup-Fenster WHOIS anzuzeigen. Weitere Informationen finden Sie unter WHOIS-Popup-Fenster.
Übersicht zum Detektor
Es wird eine Übersicht über den Detektor angezeigt. Klicken Sie für weitere Details auf den Link Weitere Details , um das Detektor-Pop-Up-Fenster anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation.
Detektorname – Der Name des Detektors.
Ziel – Kurze Beschreibung des Ziels des Detektors.
IDS-Regel: Klicken Sie auf den Link Regel anzeigen (falls verfügbar), um das Detektor-Popup-Fenster anzuzeigen. Weitere Informationen finden Sie unter Popup-Fenster der Detektor-Dokumentation. Sie kann eine IDS-Regel enthalten.