Puede acceder a la barra lateral Resumen de eventos al hacer clic en una fila de entrada en el widget Eventos de detección de la página NSX Network Detection and ResponseEventos.

En la siguiente sección se describe lo que se ve en esta barra lateral. Después de la sección superior, las secciones posteriores muestran los datos de soporte. Algunas secciones solo se muestran si hay datos relevantes disponibles.

Sección principal

La parte superior de la barra lateral incluye lo siguiente:

  • Para cerrar la barra lateral, haga clic en el icono icono Cerrar.

  • Para ver el evento en la página Perfil del evento, haga clic en Detallesflecha hacia la derecha. Consulte Página de perfil del evento para obtener más información.

  • Si está disponible, se proporciona una breve descripción del evento. Incluye una explicación del motivo por el que el sistema marcó este evento, identifica la amenaza o el malware asociado a este evento y describe brevemente la actividad detectada.

Detalles de la amenaza

Esta sección incluye la siguiente información.

Nombre de detalle de la amenaza

Descripción

Amenaza

Nombre del riesgo de seguridad detectado.

Clase de amenaza

Nombre de la clase de riesgo de seguridad detectada.

Detector de eventos

El nombre del detector de eventos. Haga clic en el vínculo para ver la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener detalles.

Si no hay ningún detector para el evento, no se muestra esta sección.

Impacto

El valor del impacto indica el nivel crítico de la amenaza detectada y oscila entre 1 y 100

  • Las amenazas con 70 o más se consideran críticas.

  • Las amenazas entre 30 y 69 se consideran de riesgo medio.

  • Las amenazas entre 1 y 29 se consideran benignas.

Acción

Una lista de acciones realizadas por el sensor (por ejemplo, cualquier actividad de bloqueo, si el evento se registra, si se capturó tráfico o se extrajo una descarga de malware).

Resultado

El resultado del evento. En la mayoría de los casos, se trata de Detección.

Para los eventos Info y los eventos que se promocionaron desde el estado Info, una etiqueta adicional proporciona el motivo de su cambio de estado. Al pasar el cursor sobre la etiqueta, se muestra una ventana emergente que proporciona detalles adicionales sobre el motivo.

Primera detección - Última detección

Un gráfico con la marca de tiempo de la primera y la última detección de la evidencia.

La información sobre duración se muestra debajo del gráfico.

Tráfico de eventos

El widget Tráfico de eventos proporciona una descripción general del tráfico observado entre los hosts implicados en el evento. Al menos un host implicado en el evento es un host supervisado. El host que se comunica puede ser un host supervisado o un sistema externo. Si los datos están disponibles, se mostrará un vínculo para ver el tráfico capturado.

La flecha indica la dirección del tráfico entre los hosts.

Para cada host, se muestra la dirección IP. Si el host es local, la dirección será un vínculo en el que puede hacer clic para ver la página Perfil de host. Es posible que se muestre una marca de ubicación geográfica, icono de inicio o icono de red. Es posible que se muestre más de uno. Si está disponible, se mostrará un nombre de host. Si está disponible en la supervisión del tráfico DHCP, se mostrará la dirección MAC del host. Se mostrarán todas las etiquetas de host aplicadas al host. Si está disponible, haga clic en icono whois para ver los detalles del host en la ventana emergente WHOIS.

Evidencia de evento

La sección Evidencia de evento enumera varias acciones observadas al analizar el evento. Para obtener más detalles, haga clic en el vínculo Detalles del evento para ver la evidencia del evento.

Las acciones incluyen Firma, Reputación, Comportamiento inusual, Descarga de archivos, Coincidencia de ruta de URL, Verificación, Anomalía, etc. Si se proporciona, haga clic en el vínculo para ver la ventana emergente Detector correspondiente. Se muestra un valor de confianza para cada acción.

Identificación de malware

Si se activa la aplicación Prevención de malware de NSX, se mostrará un resumen del malware detectado. Para obtener más información, haga clic en el vínculo Informe de análisisflecha ángulo derecho para ver el informe Análisis. Consulte Uso del informe Análisis para obtener más información.

Nombre de detalle

Descripción

Clase de antivirus

Etiqueta que define la clase de antivirus del archivo descargado.

Familia antivirus

Etiqueta que define la familia de antivirus del archivo descargado.

Malware

Una etiqueta que define el tipo de malware del archivo descargado. Si la etiqueta tiene un icono icono etiqueta , puede hacer clic en él para obtener una descripción emergente.

Descripción general del comportamiento

Los comportamientos detectados del archivo descargado. Si hay muchos datos, se mostrará una lista parcial de forma predeterminada. Haga clic en Expandir para ver más flecha hacia abajo para ver más. Para contraer la vista de nuevo, haga clic en Contraer para ver menos flecha hacia arriba.

URL de eventos

La sección URL de eventos muestra todas las URL detectadas en el evento. Esta sección aparece solo si el evento está asociado a una URL

Metadatos de eventos

La sección Metadatos de eventos muestra los siguientes datos.

Nombre de datos

Descripción

Incidente relacionado

Haga clic en icono de vínculo para ver el incidente relacionado, si hay alguno disponible.

Conexiones

Número de conexiones incluidas en el evento.

Campaña relacionada

Haga clic en icono de vínculo para ver la campaña relacionada, si hay alguna disponible.