La vista de detalles de los archivos descargados se expande dentro de la lista Archivos descargados.
Verá un subconjunto de los siguientes detalles disponibles, en función de la pestaña que haya seleccionado en la página Archivos descargados.
Nombre de detalle |
Descripción |
|---|---|
Informe de análisis |
Haga clic en el vínculo o en el icono |
Tipo de archivo |
El tipo de alto nivel del archivo descargado. Consulte Archivos descargados a lo largo del tiempo para obtener la lista de tipos de archivo. |
Detalles del tipo de archivo |
Si está disponible, más detalles sobre el tipo de archivo. Por ejemplo, |
Nombre de archivo |
Si está disponible, el nombre del archivo. |
Descargado |
Por descargas únicas, la cantidad de veces que los hosts de la red descargaron el archivo. Haga clic en el número o en el icono |
Descargado por |
Las direcciones IP de los hosts de la red que descargaron el archivo. Si está disponible, haga clic en |
Dirección URL |
La URL de la descarga del archivo. Esto es una cadena Unicode codificada en UTF-8. |
Dirección URL |
La URL sin formato de la descarga del archivo. Si hay caracteres que no son ASCII en la URL, esos caracteres, así como el propio carácter de barra diagonal inversa, tendrán codificación de barra diagonal inversa. |
Protocolo |
Protocolos de red utilizados para descargar el archivo. Uno de los siguientes: HTTP/HTTPS, FTP o SMB. |
Descargado de |
Dirección IP del host contactado. Si está disponible, haga clic en |
Host HTTP |
Si está disponible, el nombre de dominio del host contactado. Este nombre puede derivarse de otros datos, incluida la dirección IP. Si está disponible, haga clic en |
Agente de usuario |
La cadena del agente de usuario extraída de la solicitud HTTP/HTTPS. |
Primera descarga |
Para las descargas únicas, la marca de tiempo de la primera detección registrada de la descarga de archivos. |
Última descarga |
Para las descargas únicas, la marca de tiempo de la detección más reciente de la descarga de archivos. |
Marca de tiempo |
La marca de tiempo de la detección de la descarga del archivo. |
Tamaño de archivo |
Tamaño del archivo en bytes. |
MD5 |
El hash MD5 del archivo descargado. |
SHA1 |
El hash SHA1 del archivo descargado. |
Estado de envío |
Indica por qué el archivo descargado no se envió para un análisis completo. Por lo general, esto se debe a un filtrado previo u otros motivos. Coloque el mouse sobre el icono |
UUID de analista |
El identificador único devuelto por el servicio NSX Advanced Threat Prevention después de procesar el archivo descargado. |
Identificador de evento |
Un vínculo al evento asociado para la descarga del archivo. Haga clic en el identificador o en |
para ver el informe de análisis en una nueva pestaña.
para ver las descargas de archivos en la página de descargas. El vínculo pasa un filtro UUID de Analista que restringe la vista a las descargas del archivo específico.
para ver la información de registro y otros datos sobre el host en 
para mostrar una ventana emergente con más detalles.Descripción general del análisis
La sección Descripción general del análisis proporciona un resumen de los resultados del análisis de un archivo descargado por el servicio NSX Advanced Threat Prevention.
Para abrir el informe de análisis completo en una pestaña nueva, haga clic en 
. Consulte Uso del informe Análisis.
Para descargar el archivo detectado en la máquina local, haga clic en 
en el lado derecho de la pantalla. En el menú desplegable, seleccione Descargar archivo o Descargar como ZIP.
Si selecciona Descargar como ZIP, aparecerá la ventana emergente Descargar archivo como zip que le solicitará que proporcione una contraseña opcional para el archivo. Haga clic en Descargar para completar la descarga del archivo . ZIP.
La aplicación NSX Network Detection and Response solo le permite descargar archivos detectados en determinadas condiciones.
Si el artefacto se considera de bajo riesgo, se mostrará y podrá descargarlo en el equipo local.
Si el artefacto se considera peligroso, no se mostrará a menos que la licencia tenga la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS.
Debe tener en cuenta que el artefacto puede causar daños al abrirse.
Es posible que la interfaz NSX Network Detection and Response muestre la ventana emergente Advertencia: descargando archivo malintencionado. Haga clic en el botón Acepto para aceptar las condiciones y descargar el archivo.
En el caso de los artefactos malintencionados, encapsule el archivo en un archivo ZIP para evitar que otras soluciones que supervisan el tráfico inspeccionen automáticamente la amenaza.
Si no tiene la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS y necesita poder descargar artefactos malintencionados, póngase en contacto con el servicio de soporte técnico de VMware.
Haga clic en 
y en 
para expandir y contraer las secciones de la pestaña.
- MD5: el hash MD5 del archivo. Para buscar otras instancias de este artefacto en la red, haga clic en <icono de búsqueda>.
- SHA1: el hash SHA1 del archivo.
- SHA256 : el hash SHA256 del archivo.
- Tipo de MIME: la etiqueta utilizada para identificar el tipo de datos en el archivo.
- Envío: la marca de tiempo del envío
La sección Nivel de amenaza comienza con un resumen de los resultados del análisis: El hash md5 del archivo se determinó como malintencionado/benigno.
- Evaluación de riesgos
-
En esta sección se muestran los resultados de la evaluación de riesgos.
- Puntuación de malintencionalidad: establece una puntuación de 100.
- Estimación de riesgo: estimación del riesgo estimado por este artefacto.
- Alto: este artefacto representa un riesgo crítico y debe abordarse con prioridad. Por lo general, estos asuntos son archivos o documentos de Internet que contienen vulnerabilidades de seguridad, lo que pone en peligro el sistema infectado. Los riesgos son múltiples: desde la pérdida de información hasta el fallo del sistema. Estos riesgos se infieren parcialmente del tipo de actividad detectada. El umbral de puntuación de esta categoría suele ser mayor que 70.
- Medio: este artefacto representa un riesgo a largo plazo y debe supervisarse de cerca. Puede ser una página web que contiene contenido sospechoso, lo que podría provocar intentos de ataques drive-by. También pueden ser un adware o producto antivirus falso que no representa una amenaza grave inmediata, pero pueden causar problemas con el funcionamiento del sistema. El umbral de puntuación de esta categoría suele ser de 30 a 70.
- Bajo: este artefacto se considera benigno y puede ignorarlo. El umbral de puntuación de esta categoría suele ser inferior a 30.
-
Clase de antivirus: la clase de antivirus o malware a la que pertenece el artefacto. Por ejemplo, troyanos, gusanos, adware, ransomware, spyware, etc.
-
Familia de antivirus: la familia de antivirus o malware a la que pertenece el artefacto. Por ejemplo, valyria, darkside, etc. Para buscar otras instancias de esta familia, haga clic en el icono de búsqueda.
- Descripción general del análisis
-
La información que se muestra se ordena por gravedad e incluye las siguientes propiedades:
- Gravedad: una puntuación entre 0 y 100 de la malintencionalidad de las actividades detectadas durante el análisis del artefacto. Los iconos adicionales indican los sistemas operativos que pueden ejecutar el artefacto.
- Tipo: los tipos de actividades detectados durante el análisis del artefacto. Estos tipos incluyen:
- Inicio automático: capacidad para reiniciar después de apagar una máquina.
- Deshabilitar: capacidad para deshabilitar componentes críticos del sistema.
- Evasión: capacidad para evadir el entorno de análisis.
- Archivo: actividad sospechosa en el sistema de archivos.
- Memoria: actividad sospechosa dentro de la memoria del sistema.
- Red: actividad sospechosa en el nivel de red.
- Reputación: origen conocido o firmado por una organización de reputación.
- Configuración: capacidad para alterar permanentemente los ajustes críticos del sistema.
- Firma: identificación de asunto malintencionado.
- Robo: capacidad para acceder a información confidencial y potencialmente filtrada.
- Invisible: capacidad para permanecer inadvertido por parte de los usuarios.
- Silenciado: identificación del sujeto benigno.
- Descripción: una descripción correspondiente a cada tipo de actividad detectada durante el análisis del artefacto.
- Tácticas de ATT&CK: la etapa o etapas de un ataque ATT&CK de MITRE. Varias tácticas están separadas por comas.
- Técnicas de ATT&CK: las acciones o herramientas observadas que puede utilizar un actor malintencionado. Varias técnicas están separadas por comas.
- Vínculos: para buscar otras instancias de esta actividad, haga clic en el icono de búsqueda.
- Artefactos adicionales
-
En esta sección se enumeran los artefactos adicionales (archivos y URL) que se observaron durante el análisis de la muestra enviada y que, a su vez, se enviaron para un análisis detallado. Esta sección incluye las siguientes propiedades:
- Descripción: Describe el artefacto adicional.
- SHA1: el hash SHA1 del artefacto adicional.
- Tipo de contenido: el tipo MIME del artefacto adicional.
- Puntuación: la puntuación de malintencionalidad del artefacto adicional. Para ver el informe de análisis asociado, haga clic en .
- Argumentos de la línea de comandos descodificados
- Si se ejecutó algún script de PowerShell durante el análisis, el sistema los descodifica, lo que hace que sus argumentos estén disponibles en un formato más legible.
- Herramientas de terceros
- Un vínculo a un informe sobre el artefacto en el portal VirusTotal.
