Las amenazas detectadas por NSX Network Detection and Response se representan mediante tarjetas de amenazas en la pestaña Amenazas de la página Perfil de host.

Una tarjeta de amenaza muestra la puntuación de la amenaza calculada, el nombre y la clase de la amenaza, el resultado de detección (si está disponible), el estado de la amenaza y otras acciones. Si está disponible, se mostrará la campaña a la que está conectada esta amenaza. Expanda la tarjeta para ver su evidencia relacionada.

Utilice el menú desplegable Ordenar por para ordenar las tarjetas de amenazas. Puede seleccionar entre Más reciente, Anterior, Mayor impacto (valor predeterminado) y Menor impacto.

El cuadro de texto Buscar amenazas permite hacer una búsqueda rápida mientras introduce la búsqueda. Filtra las filas de la lista, mostrando solo aquellas filas que tienen texto, en cualquier campo, que coincida con la cadena de consulta que especificó.

Active el botón Mostrar amenazas cerradas para filtrar las tarjetas de amenazas mostradas por estado de amenaza. El valor predeterminado es mostrar todas las amenazas.

Gestión de las tarjetas de amenazas

Las tarjetas de amenazas muestran todas las amenazas asociadas con el host seleccionado y sus niveles de amenaza correspondientes. Cada tarjeta muestra el impacto calculado de la amenaza, el nombre de la amenaza, la clase de amenaza y, si está disponible, el resultado de detección. También muestra el estado de la amenaza: Abierta o Cerrada.

Haga clic en Próximos pasos y seleccione una acción en el menú desplegable.

  • Seleccione Cerrar para cerrar la amenaza. Seleccione Abrir para volver a abrir una amenaza cerrada.

  • Seleccione Administrar alerta para crear una regla de administración de alertas a partir de la amenaza.

La sección Resumen de evidencia contiene una descripción general de la evidencia y otros datos detectados para la amenaza. Haga clic en la flecha hacia la derecha o casi en cualquier otro lugar de la tarjeta para expandir los detalles de la evidencia.

Si los datos de campaña conectados a esta amenaza están disponibles, se mostrará Campaña con un vínculo a la barra lateral de resumen Campaña.

Detalles de la evidencia

La columna Evidencia muestra las descargas de archivos, las firmas y otras categorías de tipo de evidencia junto con una marca de tiempo de cuándo se vio la evidencia. Al hacer clic en el vínculo de tipo de evidencia, se mostrará la barra lateral Resumen de evidencia correspondiente a ese tipo en el lado derecho de la página. La barra lateral Resumen de evidencia está disponible para los siguientes tipos de evidencia.

  • Anomalía

  • Descarga de archivos

  • Firma

La columna Interacciones de red e IoC de red muestra la dirección IP o el nombre de dominio de los hosts externos. Al hacer clic en el vínculo, se expandirá la barra lateral Interacción de red.

La columna Datos de soporte proporciona un vínculo a los eventos de detección, así como un vínculo a los detalles de la amenaza.

Resultados de detección

Los resultados de los eventos de detección de amenazas tienen los siguientes posibles valores, enumerados en orden de gravedad.

Resultado de detección

Descripción

Correcto

Se verificó que la amenaza alcanzó su objetivo. Este podría ser que completó su intento de verificación al servidor C&C y se recibieron datos del endpoint malintencionado.

Error

La amenaza no pudo alcanzar su objetivo. Esto puede deberse a que el servidor C&C está sin conexión, el atacante generó errores de codificación, etc.

Bloqueado

La amenaza fue bloqueada por la aplicación NSX Network Detection and Response o por una aplicación de terceros.

Si el resultado del evento es desconocido, no se muestra este campo.

Barra lateral interacción de red

Para expandir la barra lateral Interacción de red, haga clic en el vínculo de la dirección IP o el nombre de dominio de un host específico en la columna Interacciones de red e IoC de red de la pestaña Amenazas.

El impacto y la dirección IP del host seleccionado se muestran en la parte superior de la barra lateral.

Resumen de WHOIS

La sección WHOIS muestra los campos clave del registro WHOIS correspondientes a la dirección IP o el nombre de dominio seleccionados. Haga clic en el icono icono de whois para acceder a la ventana emergente WHOIS y obtener más información sobre la dirección IP o el dominio. Consulte Ventana emergente WHOIS para obtener información detallada.

Abrir en

La sección Abrir en... contiene enlaces a proveedores de terceros, como DomainTools, VirusTotal y Google, entre otros. Si hay más proveedores de los que caben en la vista, puede hacer clic en Expandir para ver más .

Barra lateral de resumen de evidencia de anomalías

La barra lateral Resumen de evidencia para un tipo de evidencia de anomalía aparece hacer clic en un vínculo de evidencia de anomalía en la columna Evidencia de la pestaña Amenazas.

Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.

Se proporciona una breve descripción de la evidencia.

Detalles de la amenaza

Se proporcionan los siguientes detalles sobre la amenaza.
  • Amenaza: nombre del riesgo de seguridad detectado.
  • Clase de amenaza: nombre de la clase de riesgo de seguridad detectada.
  • Primera detección Última detección: un gráfico con la marca de tiempo de la primera y la última detección de la evidencia. La duración se muestra debajo del gráfico.

Resumen del detector

Se muestra un resumen del detector. Para obtener más información, haga clic en el vínculo Más detalles para ver la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener información detallada.
  • Nombre del detector: el nombre del detector.
  • Objetivo: breve descripción del objetivo del detector.
  • Categorización de ATT&CK: si corresponde, se proporciona un vínculo a la técnica ATT&CK de MITRE. De lo contrario, se mostrará N/A.

Detalles de anomalías

Se proporcionan detalles sobre la anomalía.
Detalle Descripción
Descripción

Una breve descripción de la anomalía que detalla cómo se desvía del comportamiento de la línea base o por qué debe considerarse sospechoso.

Tipo de estado

El tipo de anomalía. Por ejemplo, Atípico.

Anomalía

El elemento anómalo detectado en el host. Por ejemplo, acceso a un puerto inusual.

Elementos de línea base

Los elementos que se suelen ver en este host.

Perfil creado:

Marca de tiempo de la creación de la línea base.

Perfil actualizado:

Marca de tiempo para el momento en que se detectó la anomalía.

Diagrama de valores atípicos

El diagrama muestra la carga/descarga de datos normal del host para compararla con la transferencia de datos que se marcó como anómala. Es posible que se muestren los siguientes datos, según el detector

  • El tamaño de carga/descarga que provocó que se activara la alerta de anomalía.

  • El tamaño máximo de carga/descarga antes de que se activara la alerta de anomalía.

  • El tamaño promedio de carga/descarga del host.

Barra lateral de resumen de la evidencia de descarga de archivos

La barra lateral Resumen de evidencia para un tipo de evidencia de descarga de archivos aparece al hacer clic en un vínculo de evidencia Descarga de archivos en la columna Evidencia de la pestaña Amenazas.

Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.

Se proporciona una breve descripción de la evidencia.

Detalles del archivo

Se proporcionan los siguientes detalles sobre el archivo.
  • Tipo de archivo: el tipo de alto nivel del archivo descargado. Consulte Pestaña Único para obtener la lista de tipos de archivo.
  • Confianza: indica la probabilidad de que el archivo descargado sea malintencionado. Dado que el sistema utiliza heurísticas avanzadas para detectar amenazas desconocidas, en algunos casos, la amenaza detectada puede tener un valor de confianza menor si el volumen de información disponible para esa amenaza específica es limitado.
  • SHA1: el hash SHA1 del archivo.

Identificación de malware

Se muestra un resumen del malware detectado. Para obtener más información, haga clic en el vínculo Informe de análisisflecha hacia la derecha para ver el informe Análisis. Consulte Uso del informe Análisis para obtener más información.
  • Clase de antivirus: etiqueta que define la clase de antivirus del archivo descargado.
  • Familia de antivirus: etiqueta que define la familia de antivirus del archivo descargado.
  • Malware: etiqueta que define el tipo de malware del archivo descargado. Si la etiqueta tiene el icono icono de etiqueta, haga clic en el icono para ver la descripción en una ventana emergente.
  • Descripción general del comportamiento: los comportamientos detectados del archivo descargado. Si hay muchos datos, se mostrará una lista parcial de forma predeterminada. Haga clic en Expandir para ver más icono de flecha hacia abajo para ver más. Para contraer la vista de nuevo, haga clic en Contraer para ver menos icono de flecha hacia arriba .

Abrir en ...

Para abrir el archivo descargado en un servicio específico, haga clic en uno de los iconos de los proveedores. De forma predeterminada, muestra una lista parcial de proveedores.

Detalles de la descarga

Se mostrarán los detalles del archivo descargado. Para obtener más información, haga clic en el vínculo Informe de análisisicono de flecha hacia la derecha para ver el informe Análisis. Consulte Uso del informe Análisis para obtener más información.
Información Descripción
Nombre de archivo La ruta del recurso al archivo descargado.
Dirección URL

La dirección URL completa del archivo descargado.

Primera detección

La marca de tiempo desde la primera vez que se detectó el archivo descargado. Si se han producido varias instancias de este archivo, este será un rango de marcas de tiempo.

Descargado de

La dirección IP del servidor de origen.

Protocolo

El protocolo que se utilizó para transferir el archivo descargado del servidor de origen.

Agente de usuario

Si está disponible, se mostrará la cadena del agente de usuario para la solicitud de descarga.

Barra lateral de resumen de evidencia de firma

La barra lateral Resumen de evidencia para un tipo de evidencia de firma aparece al hacer clic en un vínculo de evidencia de firma en la columna Evidencia de la pestaña Amenazas.

Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.

Se proporciona una breve descripción de la evidencia.

Detalles de la amenaza

Se proporcionan los siguientes detalles sobre la amenaza.

Detalle

Descripción

Amenaza

Nombre del riesgo de seguridad detectado.

Clase de amenaza

Nombre de la clase de riesgo de seguridad detectada.

Actividad

Si está disponible, muestra la actividad actual detectada de la amenaza.

Confianza

Indica la probabilidad de que la amenaza detectada sea malintencionada.

Para los eventos que muestran resultados de análisis, como una descarga de archivos, se muestra una puntuación.

Primera detección

Última detección

Un gráfico con la marca de tiempo de la primera y la última detección de la evidencia.

La duración se muestra debajo del gráfico.

Detalles del tráfico

El widget Tráfico de eventos de referencia proporciona una descripción general del tráfico observado entre los hosts implicados en el evento de referencia. Al menos un host implicado en el evento es un host supervisado. El host que se comunica puede ser un host supervisado o un sistema externo.

La flecha indica la dirección del tráfico entre los hosts.

Para cada host, se muestra la dirección IP. Si el host es local, la dirección será un vínculo en el que puede hacer clic para ver la página Perfil de host. Es posible que se muestre una marca de ubicación geográfica, o . Se pueden mostrar varios. Si está disponible, se mostrará un nombre de host. Se mostrarán todas las etiquetas de host aplicadas al host. Si está disponible, haga clic en el icono para ver los detalles del host en la ventana emergente WHOIS. Consulte Ventana emergente WHOIS para obtener información detallada.

Resumen del detector

Se muestra un resumen del detector. Para obtener más información, haga clic en el vínculo Más detalles para ver la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener información detallada.

  • Nombre del detector: el nombre del detector.

  • Objetivo: breve descripción del objetivo del detector.

  • Regla de IDS: haga clic en el vínculo Ver regla (si está disponible) para abrir la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener información detallada. Puede contener una regla de IDS.