Se accede a la página Perfil del evento desde el botón Detalles situado en la parte superior de la barra lateral Resumen de eventos.

Hay una serie de controles y botones en la parte superior de la vista:

  • Haga clic en Eventos similares para ver una lista desplegable de funciones similares. Haga clic en el icono de junto a cada uno para seleccionar Destino, Puerto de destino, IP de origen, Protocolo de transporte, Clase de amenaza y Tipo de amenaza. A continuación, haga clic Ver eventos icono de cadena para ver los eventos seleccionados en una pestaña nueva.

  • Haga clic en Administrar alerta para iniciar la barra lateral Administrar alerta. Utilice esta función para suprimir o degradar eventos inofensivos, como los eventos de prueba o bloqueo del sistema, o para aplicar puntuaciones personalizadas a eventos específicos. Consulte Trabajar con la barra lateral Administrar alerta para obtener detalles.

  • Haga clic en el icono para contraer todos los campos o en el icono para expandirlos todos.

Descripción general de eventos

La sección superior proporciona una descripción general visual de la amenaza o el malware que ha detectado la aplicación NSX Network Detection and Response y muestra la clase de amenaza y la puntuación de impacto de la amenaza.

Resumen de eventos

La sección Resumen de eventos proporciona una explicación del motivo por el que la aplicación NSX Network Detection and Response marcó este evento, identifica la amenaza o el malware asociado a este evento, describe brevemente la actividad detectada y muestra los datos de respaldo.

Si está disponible en el servicio de nube NSX Advanced Threat Prevention, se mostrará una explicación detallada del evento y el motivo por el que se considera malintencionado en la parte superior de la sección Resumen de eventos.

Bloque de servidores

El bloque de servidores muestra los siguientes datos.

Datos

Descripción

Nombre del host

Si está disponible, el FQDN del servidor.

Dirección IP

La dirección IP del servidor de. Es posible que se muestre una marca de ubicación geográfica. Si se muestra el icono icono de vínculo de cadena, haga clic en el vínculo para ver más detalles en la página Perfil de host.

Si está disponible, haga clic en el icono icono de etiqueta para ver las etiquetas de reputación del cliente.

Si está disponible, haga clic en el icono icono de globo para ver la información de registro y otros datos sobre el host en la ventana emergente WHOIS.

Dirección MAC

Si está disponible, la dirección MAC del servidor. Esta dirección se obtiene de la supervisión del tráfico DHCP y es uno de los puntos de datos que utiliza el sistema para generar una entrada de HostID única que se asigna a un host específico de la red, independientemente de su dirección IP.

Bloque de clientes

El bloque de clientes muestra los siguientes datos.

Datos

Descripción

Nombre del host

Si está disponible, el FQDN del cliente.

Dirección IP

La dirección IP del cliente. Es posible que se muestre una marca de ubicación geográfica. Si está disponible, haga clic en la dirección o en el icono icono de vínculo de cadena para ver la página Perfil de host.

Si está disponible, haga clic en el icono icono de etiqueta para ver las etiquetas de reputación del cliente.

Si está disponible, haga clic en el icono icono de globo para ver la información de registro y otros datos sobre el host en la ventana emergente WHOIS.

Dirección MAC

Si está disponible, la dirección MAC del cliente. Esta dirección se obtiene de la supervisión del tráfico DHCP y es uno de los puntos de datos que utiliza el sistema para generar una entrada de HostID única que se asigna a un host específico de la red, independientemente de su dirección IP.

Metadatos de eventos

La sección Metadatos de eventos muestra los siguientes datos.

Datos

Descripción

Resultado de verificación

Indica el resultado del evento. Estos son los valores posibles:

  • Bloqueado: la amenaza fue bloqueada por la aplicación NSX Network Detection and Response o por una aplicación de terceros.

  • Error: la amenaza no pudo alcanzar su objetivo. Esto puede deberse a que el servidor C&C está sin conexión, el atacante generó errores de codificación, etc.

  • Correcto: se verificó que la amenaza alcanzó su objetivo. Este podría ser que completó su intento de verificación al servidor C&C y se recibieron datos del endpoint malintencionado.

Si el resultado del evento es desconocido, no se muestra este campo.

Nombre del verificador

El nombre del verificador de eventos. Haga clic en el vínculo para acceder a la ventana emergente Documentación del verificador.

Mensaje del verificador

Un mensaje del verificador que proporciona más información sobre el resultado, por ejemplo, qué aplicación de terceros bloqueó la amenaza.

Sensor

El sensor que detectó el evento.

Conexiones

Número de conexiones incluidas en el evento.

Acción

Una lista de acciones realizadas por el sensor (por ejemplo, cualquier actividad de bloqueo, si el evento se registra, si se capturó tráfico o se extrajo una descarga de malware).

Usuarios que iniciaron sesión

Una lista de los usuarios detectados en los registros registrados.

Resultado

El resultado del evento. En la mayoría de los casos, el resultado es DETECCIÓN.

Para los eventos INFO y los eventos que se promocionaron desde el estado INFO, una etiqueta adicional proporciona el motivo de su cambio de estado. Al pasar el cursor sobre la etiqueta, se muestra una ventana emergente que proporciona detalles adicionales sobre el motivo.

Incidente relacionado

Vínculo permanente a un incidente correlacionado. Al hacer clic en el enlace enlace de cadena, se abre la página Perfil del incidente en una nueva pestaña del navegador.

Este evento puede ser uno de varios eventos estrechamente relacionados que se correlacionan automáticamente con un incidente.

Identificador de evento

Consulte el evento en la página Detalles del evento de red. El enlace se abre en una nueva pestaña del navegador.

Hora de inicio

Una marca de tiempo para el comienzo del evento.

Hora de finalización

Una marca de tiempo para el final del evento.

Malware capturado

La sección Malware capturado proporciona información del análisis dinámico que se realizó en la instancia de software malintencionado que está relacionada con el evento.

Puede acceder a información técnica detallada sobre qué hace el malware, cómo funciona y qué tipo de riesgo supone. Para obtener más información sobre la información mostrada, consulte Uso del informe Análisis.

Nota:

Si no se detectó ningún software malintencionado para el evento, esta sección no aparecerá.

Evidencia de evento

La sección Evidencia de evento proporciona detalles de las acciones observadas al analizar el evento.

Las acciones pueden incluir la descarga de archivos malintencionados, el tráfico de red que coincide con la firma de red de las amenazas conocidas, la resolución de nombres de dominio de un dominio de malware bloqueado, una ruta de URL incorrecta conocida, etc.

Si está disponible, haga clic en el vínculo Detector para ver la ventana emergente Documentación del detector. Consulte también Acerca de la evidencia para obtener más información.

Reputación del host

La sección Reputación del host proporciona información sobre entradas de reputación de URL o hosts malintencionados conocidos que aparecen en el evento.

Nota:

Si el host no tiene historial conocido, esta sección no aparecerá.

Datos de anomalías

Esta sección muestra los registros de DNS pasivos o de netflow que provocaron el evento de anomalía.

Se denominará Dalos de anomalías de DNS o Datos de anomalías de Netflow, según la anomalía vista.

Se puede proporcionar información adicional, como las direcciones IP o los puertos que se clasificaron como anómalos. Si hay un gran número de elementos involucrados, puede hacer clic en el icono más# para exponer todos los elementos.

Nota:

Si no se ha detectado ninguna anomalía para el evento, esta sección no aparecerá.

Descripción de la amenaza

La sección Descripción de la amenaza proporciona una descripción detallada de la amenaza asociada con el evento.

Mitigación

La sección Mitigación proporciona instrucciones detalladas para eliminar cualquier software malintencionado y otros procesos recomendados para limpiar después del evento.

Nota:

Si no hay ningún proceso de mitigación conocido para el evento, esta sección no aparecerá.