Erkennungen, auch als „Erkennungsereignisse“ oder nur „Ereignisse“ bezeichnet, sind sicherheitsrelevante Aktivitäten, die im Netzwerk aufgetreten sind und von NSX Network Detection and Response erkannt wurden. Erkennungen ermöglichen die Triage und Analyse von Bedrohungen, da für alle Bedrohungsereignisse unabhängig vom Ereignistyp innerhalb der NSX-Umgebung Analysen bereitgestellt werden.

Wenn neue Erkennungsdaten vom NSX Network Detection and Response-System empfangen werden, werden die Daten mit vorhandenen Erkennungsereignissen verglichen, um zu ermitteln, ob eine Aggregation mit einem vorhandenen Erkennungsereignis möglich ist. Weitere Informationen dazu, wie Erkennungen aggregiert werden, finden Sie unter Zusammenfassung von Erkennungen.

Erkennungsereignisse können miteinander korreliert werden, um eine Aktivität zu bilden. Wenn ein Erkennungsereignis keine Korrelation mit einer anderen Erkennung aufweist, wird es in keiner Aktivität berücksichtigt.

Anzeigen der vereinheitlichten Ereignisliste

Um alle von NSX Network Detection and Response generierten Erkennungsereignisse anzuzeigen, navigieren Sie zur Seite Threat Detection and Response > Erkennungen. Diese Seite enthält oben ein Histogramm und darunter eine Liste. Die Liste wird als einheitliche Ereignisliste bezeichnet und zeigt alle Erkennungsereignisse an. Jede Zeile in der Liste stellt ein Erkennungsereignis dar.

Erkennungsseite

  • Klicken Sie rechts oben auf der Seite auf URL kopieren, um die Link-Adresse mit den derzeit angewendeten Filtern zu kopieren.

Filtern der vereinheitlichten Ereignisliste

Sie können die einheitliche Ereignisliste mit den folgenden Methoden filtern:
Methode Details
Kontrollkästchen

Klicken Sie über dem Histogramm auf die Kontrollkästchen, um die vereinheitlichte Ereignisliste basierend auf der Auswirkungsbewertung der Erkennung zu filtern.

Weitere Informationen zu Auswirkungsbewertungen für eine Erkennung finden Sie unter Informationen zu Auswirkungsbewertungen für eine Erkennung.

Kontrollkästchen der Auswirkungsbewertungsstufen.
Histogramm

Klicken Sie auf die Histogrammleisten, um die vereinheitlichte Ereignisliste anhand der bei der Erkennung identifizierten MITRE ATT&CK-Taktik zu filtern.

Histogramm der Erkennungen sortiert nach MITRE ATT&CK-Taktik.
Feld „Filter“

Klicken Sie auf das Filterfeld, um leistungsfähigere Filteroptionen anzuzeigen:

  1. Wählen Sie im Dropdown-Menü ein Filterkriterium aus. Verfügbare Kriterien:
    • Auswirkungsbewertung
    • Typ
    • MITRE-Taktik
    • MITRE-Technik
    • Bedrohung
    • Angriffsergebnis
    • Betroffene Arbeitslast
    • Aktionen
    • Betroffene Arbeitslasten nach IP

    Filteroptionen.

  2. Legen Sie fest, ob die Ergebnisse des ausgewählten Filterkriteriums einbezogen oder ausgeschlossen werden sollen. Klicken Sie dann auf Anwenden.

    Einschließen bestimmter Filterkriterien.

  3. Sie haben folgende Möglichkeiten, mehrere Filter zu kombinieren:
    • Verwenden Sie die OR-Logik zwischen Kriterien im selben Filter.
    • Verwenden Sie die AND-Logik zwischen Filtern.

Anzeigen einer Übersicht der Erkennungsereignisse

Erweitern Sie die Erkennungszeile und klicken Sie auf Weitere Informationen, um die Erkennungsübersicht anzuzeigen.

Erkennungsübersicht

Erkennungstyp

Das Symbol für den Erkennungstyp wird in der Spalte Typ angezeigt. Bewegen Sie den Mauszeiger darüber, um den Erkennungstyp anzuzeigen.

Erkennungstyp-Symbol. Bewegen Sie den Mauszeiger darüber, um den Namen anzuzeigen

Erkennungstypen und Symbole, die auf der NDR-Benutzeroberfläche angezeigt werden

Exportieren und Herunterladen von Paketerfassungsdateien

Auf der Registerkarte Flow-Daten der Erkennungszusammenfassung können Sie die von NSX IDS/IPS erfassten PCAP (Packet Capture)-Dateien exportieren und herunterladen. Weitere Details zu PCAP finden Sie unter Exportieren und Herunterladen von Paketerfassungsdateien.
Hinweis: Die PCAP-Datei ist für die horizontalen/verteilten IDS/IPS-Ereignisse verfügbar, sofern im IDS-Profil „PCAPs“ aktiviert ist. Der Link wird nicht angezeigt, wenn die PCAP-Datei nicht verfügbar ist. Außerdem müssen sowohl NSX als auch NSX Application Platform Version 4.2 oder höher aufweisen.

Übersicht zum Malware-Verhalten

Der Abschnitt Malware-Verhalten enthält Informationen aus der dynamischen Analyse, die auf der bösartigen Softwareinstanz durchgeführt wurde, die sich auf das Ereignis bezieht.

Klicken Sie auf Berichte anzeigen, um auf detaillierte technische Informationen darüber zuzugreifen, was die Malware tut, wie sie funktioniert und welche Art von Risiko sie darstellt. Weitere Informationen zu den angezeigten Details finden Sie unter Details des Analyseberichts.

Hinweis: Wenn für das Ereignis keine bösartige Software erkannt wurde, wird dieser Abschnitt nicht angezeigt.