La vista de detalles de los archivos descargados se expande dentro de la lista Archivos descargados.

Verá un subconjunto de los siguientes detalles disponibles, en función de la pestaña que haya seleccionado en la página Archivos descargados.

Nombre de detalle

Descripción

Informe de análisis

Haga clic en el vínculo o en el icono icono de vínculo para ver el informe de análisis en una nueva pestaña.

Tipo de archivo

El tipo de alto nivel del archivo descargado. Consulte Archivos descargados a lo largo del tiempo para obtener la lista de tipos de archivo.

Detalles del tipo de archivo

Si está disponible, más detalles sobre el tipo de archivo. Por ejemplo, PE executable, application, 32-bit, Intel i386 o Zip archive data.

Nombre de archivo

Si está disponible, el nombre del archivo.

Descargado

Por descargas únicas, la cantidad de veces que los hosts de la red descargaron el archivo.

Haga clic en el número o en el icono icono de búsqueda para ver las descargas de archivos en la página de descargas. El vínculo pasa un filtro UUID de Analista que restringe la vista a las descargas del archivo específico.

Descargado por

Las direcciones IP de los hosts de la red que descargaron el archivo.

Si está disponible, haga clic en icono whois para ver la información de registro y otros datos sobre el host en Ventana emergente WHOIS.

Dirección URL

La URL de la descarga del archivo. Esto es una cadena Unicode codificada en UTF-8.

Dirección URL

La URL sin formato de la descarga del archivo. Si hay caracteres que no son ASCII en la URL, esos caracteres, así como el propio carácter de barra diagonal inversa, tendrán codificación de barra diagonal inversa.

Protocolo

Protocolos de red utilizados para descargar el archivo. Uno de los siguientes: HTTP/HTTPS, FTP o SMB.

Descargado de

Dirección IP del host contactado.

Si está disponible, haga clic en icono whois para ver la información de registro y otros datos sobre el host en Ventana emergente WHOISs.

Host HTTP

Si está disponible, el nombre de dominio del host contactado. Este nombre puede derivarse de otros datos, incluida la dirección IP.

Si está disponible, haga clic en icono whois para ver la información de registro y otros datos sobre el host en Ventana emergente WHOIS.

Agente de usuario

La cadena del agente de usuario extraída de la solicitud HTTP/HTTPS.

Primera descarga

Para las descargas únicas, la marca de tiempo de la primera detección registrada de la descarga de archivos.

Última descarga

Para las descargas únicas, la marca de tiempo de la detección más reciente de la descarga de archivos.

Marca de tiempo

La marca de tiempo de la detección de la descarga del archivo.

Tamaño de archivo

Tamaño del archivo en bytes.

MD5

El hash MD5 del archivo descargado.

SHA1

El hash SHA1 del archivo descargado.

Estado de envío

Indica por qué el archivo descargado no se envió para un análisis completo. Por lo general, esto se debe a un filtrado previo u otros motivos. Coloque el mouse sobre el icono icono de interrogación para mostrar una ventana emergente con más detalles.

UUID de analista

El identificador único devuelto por el servicio NSX Advanced Threat Prevention después de procesar el archivo descargado.

Identificador de evento

Un vínculo al evento asociado para la descarga del archivo. Haga clic en el identificador o en icono de vínculo para ver el evento. Consulte Eventos de detección para obtener más información.

Descripción general del análisis

La sección Descripción general del análisis proporciona un resumen de los resultados del análisis de un archivo descargado por el servicio NSX Advanced Threat Prevention.

Para abrir el informe de análisis completo en una pestaña nueva, haga clic en icono de cadena en círculo negro. Consulte Uso del informe Análisis.

Para descargar el archivo detectado en la máquina local, haga clic en icono de descarga de archivos en el lado derecho de la pantalla. En el menú desplegable, seleccione Descargar archivo o Descargar como ZIP.

Si selecciona Descargar como ZIP, aparecerá la ventana emergente Descargar archivo como zip que le solicitará que proporcione una contraseña opcional para el archivo. Haga clic en Descargar para completar la descarga del archivo . ZIP.

Importante:

La aplicación NSX Network Detection and Response solo le permite descargar archivos detectados en determinadas condiciones.

Si el artefacto se considera de bajo riesgo, se mostrará icono de descarga de archivos y podrá descargarlo en el equipo local.

Si el artefacto se considera peligroso, no se mostrará icono de descarga de archivos a menos que la licencia tenga la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS.

Debe tener en cuenta que el artefacto puede causar daños al abrirse.

Es posible que la interfaz NSX Network Detection and Response muestre la ventana emergente Advertencia: descargando archivo malintencionado. Haga clic en el botón Acepto para aceptar las condiciones y descargar el archivo.

En el caso de los artefactos malintencionados, encapsule el archivo en un archivo ZIP para evitar que otras soluciones que supervisan el tráfico inspeccionen automáticamente la amenaza.

Si no tiene la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS y necesita poder descargar artefactos malintencionados, póngase en contacto con el servicio de soporte técnico de VMware.

Haga clic en icono Expandir y icono Contraer para expandir y contraer las secciones de la pestaña.

La sección Descripción general del análisis proporciona un resumen de los resultados de análisis de un archivo o una URL analizados por el servicio NSX Advanced Threat Prevention. La sección muestra los siguientes datos.
  • MD5: el hash MD5 del archivo. Para buscar otras instancias de este artefacto en la red, haga clic en <icono de búsqueda>.
  • SHA1: el hash SHA1 del archivo.
  • SHA256 : el hash SHA256 del archivo.
  • Tipo de MIME: la etiqueta utilizada para identificar el tipo de datos en el archivo.
  • Envío: la marca de tiempo del envío

La sección Nivel de amenaza comienza con un resumen de los resultados del análisis: El hash md5 del archivo se determinó como malintencionado/benigno.

Después, muestra los siguientes datos:
Evaluación de riesgos
En esta sección se muestran los resultados de la evaluación de riesgos.
  • Puntuación de malintencionalidad: establece una puntuación de 100.
  • Estimación de riesgo: estimación del riesgo estimado por este artefacto.
    • Alto: este artefacto representa un riesgo crítico y debe abordarse con prioridad. Por lo general, estos asuntos son archivos o documentos de Internet que contienen vulnerabilidades de seguridad, lo que pone en peligro el sistema infectado. Los riesgos son múltiples: desde la pérdida de información hasta el fallo del sistema. Estos riesgos se infieren parcialmente del tipo de actividad detectada. El umbral de puntuación de esta categoría suele ser mayor que 70.
    • Medio: este artefacto representa un riesgo a largo plazo y debe supervisarse de cerca. Puede ser una página web que contiene contenido sospechoso, lo que podría provocar intentos de ataques drive-by. También pueden ser un adware o producto antivirus falso que no representa una amenaza grave inmediata, pero pueden causar problemas con el funcionamiento del sistema. El umbral de puntuación de esta categoría suele ser de 30 a 70.
    • Bajo: este artefacto se considera benigno y puede ignorarlo. El umbral de puntuación de esta categoría suele ser inferior a 30.
  • Clase de antivirus: la clase de antivirus o malware a la que pertenece el artefacto. Por ejemplo, troyanos, gusanos, adware, ransomware, spyware, etc.

  • Familia de antivirus: la familia de antivirus o malware a la que pertenece el artefacto. Por ejemplo, valyria, darkside, etc. Para buscar otras instancias de esta familia, haga clic en el icono de búsqueda.

Descripción general del análisis
La información que se muestra se ordena por gravedad e incluye las siguientes propiedades:
  • Gravedad: una puntuación entre 0 y 100 de la malintencionalidad de las actividades detectadas durante el análisis del artefacto. Los iconos adicionales indican los sistemas operativos que pueden ejecutar el artefacto.
  • Tipo: los tipos de actividades detectados durante el análisis del artefacto. Estos tipos incluyen:
    • Inicio automático: capacidad para reiniciar después de apagar una máquina.
    • Deshabilitar: capacidad para deshabilitar componentes críticos del sistema.
    • Evasión: capacidad para evadir el entorno de análisis.
    • Archivo: actividad sospechosa en el sistema de archivos.
    • Memoria: actividad sospechosa dentro de la memoria del sistema.
    • Red: actividad sospechosa en el nivel de red.
    • Reputación: origen conocido o firmado por una organización de reputación.
    • Configuración: capacidad para alterar permanentemente los ajustes críticos del sistema.
    • Firma: identificación de asunto malintencionado.
    • Robo: capacidad para acceder a información confidencial y potencialmente filtrada.
    • Invisible: capacidad para permanecer inadvertido por parte de los usuarios.
    • Silenciado: identificación del sujeto benigno.
  • Descripción: una descripción correspondiente a cada tipo de actividad detectada durante el análisis del artefacto.
  • Tácticas de ATT&CK: la etapa o etapas de un ataque ATT&CK de MITRE. Varias tácticas están separadas por comas.
  • Técnicas de ATT&CK: las acciones o herramientas observadas que puede utilizar un actor malintencionado. Varias técnicas están separadas por comas.
  • Vínculos: para buscar otras instancias de esta actividad, haga clic en el icono de búsqueda.
Artefactos adicionales
En esta sección se enumeran los artefactos adicionales (archivos y URL) que se observaron durante el análisis de la muestra enviada y que, a su vez, se enviaron para un análisis detallado. Esta sección incluye las siguientes propiedades:
  • Descripción: Describe el artefacto adicional.
  • SHA1: el hash SHA1 del artefacto adicional.
  • Tipo de contenido: el tipo MIME del artefacto adicional.
  • Puntuación: la puntuación de malintencionalidad del artefacto adicional. Para ver el informe de análisis asociado, haga clic en .
Argumentos de la línea de comandos descodificados
Si se ejecutó algún script de PowerShell durante el análisis, el sistema los descodifica, lo que hace que sus argumentos estén disponibles en un formato más legible.
Herramientas de terceros
Un vínculo a un informe sobre el artefacto en el portal VirusTotal.