Im Abschnitt Ereignisbericht werden zusätzliche Artefakte angezeigt, die der NSX Advanced Threat Prevention-Dienst während der Probenverarbeitung erfasst.
Diese Artefakte sind im Bericht enthalten, damit Sie sie anzeigen können.
Paketerfassung
Wenn das Subjekt Netzwerkdatenverkehr generiert hat, wird dieser Datenverkehr erfasst und im Widget „Erfasster Datenverkehr“ angezeigt.
Extrahierte Dateien
Für ein vergrößerndes Archiv wird eine Liste der Inhalte angezeigt. Jede Zeile zeigt den Mime-Typ, das Tag (gibt die Art der Analyse an), die Beschreibung, den Dateinamen (falls im Archiv verfügbar) und die Bewertung des Artefakts. Eine Bewertung wird nur angezeigt, wenn das Artefakt analysiert wurde. In diesem Fall wird auch ein Link zu seinem Bericht bereitgestellt.
Wenn beim NSX Advanced Threat Prevention-Dienst beim Entpacken eines Archivs ein Fehler aufgetreten ist, wird eine Warnung angezeigt, die auf die Fehlerbedingung hinweist. Zu den Fehlern gehören Überschreitung der maximalen Dateigröße, Überschreitung der maximalen Tiefe und Überschreitung der maximalen Anzahl an untergeordneten Aufgaben.
Generierte Dateien
Während der Analyse kann die Probe verschiedene Dateien generieren. Diese Dateien werden in einer nach PATH sortierten Liste angezeigt.
- PATH: Der Pfad des Artefakts im Dateisystem.
- TYPE: Der ermittelte Dateityp. Um die Liste nach Dateityp zu sortieren, klicken Sie auf TYPE.
Klicken Sie auf das Symbol , um eine Zeile zu erweitern. Es werden Daten für MD5, SHA 1, Größe (Bytes), Packer und Signaturen angezeigt. Möglicherweise sind nicht für alle Felder Daten verfügbar.
Entschlüsselte Befehlszeilenargumente
Die Argumente bösartiger PowerShell-Skripts sind häufig verschlüsselt oder verschleiert. Wenn während der Analyse ein Skript ausgeführt wurde, entschlüsselt der NSX Advanced Threat Prevention-Dienst es und stellt seine Argumente in einer für den Menschen besser lesbaren Form zur Verfügung. Diese Argumente werden in einer Liste mit dem Analysesubjekt und dem entschlüsselten Skript angezeigt.