Auf dem Dashboard Malware-Schutz können Sie Ereignisdetails von Dateien anzeigen, die im Datencenter für genauere Überwachungs- und Analysezwecke extrahiert wurden.
Das Dashboard kann Dateiereignisse der letzten 14 Tage anzeigen. Informationen zur maximalen Anzahl von Dateiereignissen, die von der verteilten und der Gateway-Firewall unterstützt werden, finden Sie im Tool zu den Maximalwerten für die VMware-Konfiguration unter https://configmax.vmware.com/home.
- Seite „Potenzielle Malware“
-
Zeigt aggregierte Ereignisdetails zu schädlichen Dateien, verdächtigen Dateien und nicht geprüften Dateien (auf der Positivliste) an, die über einen bestimmten Zeitraum im Datencenter extrahiert wurden.
Eine Blase im Blasendiagramm stellt eine eindeutige Datei dar, die im Datencenter extrahiert wird. Eine Datei wird durch ihren Datei-Hash eindeutig identifiziert. Die Farbe und die Grafik in der Blase geben an, ob die Datei schädlich, verdächtig oder nicht geprüft (in der Positivliste enthalten) ist.
Eine Tabellenzeile stellt eine Datei dar. Die Zahl in der Blase bezeichnet die für die Datei berechnete Bedrohungsbewertung. Die Bewertung wird auf einer Skala von 0 bis 100 angezeigt. Der Wert bezeichnet den mit der Datei verbundenen Risikograd bzw. die Wahrscheinlichkeit einer bösartigen Absicht. Eine hohe Bedrohungsbewertung weist auf ein größeres Risiko hin und umgekehrt. Beispiel:- Der Bewertungsbereich für ungefährliche Dateien umfasst die Werte von 0 bis 29.
- Der Bewertungsbereich für verdächtige Dateien umfasst die Werte von 30 bis 69.
- Der Bewertungsbereich für schädliche Dateien umfasst die Werte von 70 bis 100.
- Nicht geprüfte Dateien haben eine Bewertung von -1.
Wenn eine Datei als schädlich oder verdächtig eingestuft wird, werden die Malware-Familie und die Malware-Klasse für die Datei angezeigt. Eine einzelne Datei kann mehreren Malware-Familien und Malware-Klassen angehören. Sind die Malware-Familie und Malware-Klasse für eine Datei in NSX jedoch unbekannt, werden die Informationen nicht in der Benutzeroberfläche angezeigt.
Hinweis: Für jede Datei werden die Ereignisdetails (Überprüfungsdetails) aggregiert und im Dashboard angezeigt. Wenn beispielsweise eine einzelne Datei fünf Mal im Datencenter überprüft wird, werden fünf Dateiereignisse generiert. Das bedeutet, dass die Anzahl der Überprüfungen für die Datei fünf beträgt. Das Blasendiagramm zeigt jedoch eine einzelne Blase für die Datei an, und die Tabelle enthält eine einzige Zeile für diese Datei. Wenn Sie auf eine Blase zeigen, wird eine Zusammenfassung der für die Datei durchgeführten Überprüfungen angezeigt. Ebenso werden die Details der letzten Dateiprüfung angezeigt, wenn Sie die Zeile für eine Datei in der Tabelle erweitern. Dennoch wird der Verlauf aller vorherigen Überprüfungen für die Datei beibehalten und kann angezeigt werden.In der folgenden Tabelle wird die Bedeutung der im Blasendiagramm verwendeten Symbole beschrieben.Symbol Bedeutung
Eine kleine Blase auf der Zeitachse stellt eine einzelne Überprüfung für eine Datei dar.
Eine große Blase auf der Zeitachse stellt mehrere Überprüfungen für eine einzelne Datei dar.
Beispiel: Angenommen, eine .exe-Datei wird über drei Tage auf fünf Gast-VMs extrahiert und NSX hat festgestellt, dass diese Datei verdächtig ist. In diesem Fall wurden fünf eindeutige Dateiüberprüfungen für die .exe-Datei im Datencenter durchgeführt. Eine große Blase wird auf der Zeitachse verdächtiger Dateien beim Zeitstempel der letzten Überprüfung angezeigt. Sie können auf die Blase klicken, um den Verlauf aller fünf Überprüfungen für diese .exe-Datei anzuzeigen.
Eine Gruppe von Blasen auf der Zeitachse stellt mehrere eindeutige Dateiüberprüfungen mit derselben Bewertung dar.
Beispiel: Angenommen, vier eindeutige .docx-Dateien A, B, C und D werden aus dem vertikalen Datenverkehr im Datencenter gleichzeitig (oder nahezu gleichzeitig) extrahiert, und NSX hat festgestellt, dass alle diese Dateien schädlich sind. Die Blasen für alle vier Dateien werden gruppiert und auf der Zeitachse für schädliche Dateien im Blasendiagramm angezeigt.
- Seite „Alle Dateien“
- Zeigt eine Tabellenansicht aller eindeutigen Dateien an, die im Datencenter extrahiert werden, einschließlich der ungefährlichen Dateien. Das bedeutet, dass auf dieser Seite alle eindeutigen Dateien unabhängig von der Einschätzung der Datei angezeigt werden. Erweitern Sie eine Zeile in der Tabelle, um weitere Details zur Überprüfung der Datei anzuzeigen.
Voraussetzungen
- NSX Malware Prevention-Funktion wurde auf der NSX Application Platform erfolgreich aktiviert.
- Die NSX Malware Prevention-Funktion ist je nach Ihren Sicherheitsanforderungen auf den ESXi-Hostclustern oder Tier-1-Gateways oder beiden aktiviert.