La pestaña Descripción general de la página Informe del análisis de la interfaz de usuario de NSX Network Detection and Response proporciona un resumen de los resultados del análisis del archivo analizado por el servicio NSX Advanced Threat Prevention.
Para descargar el archivo detectado en la máquina local, haga clic en en el lado derecho de la pantalla. En el menú desplegable, seleccione Descargar archivo o Descargar como ZIP.
Si selecciona Descargar como ZIP, aparecerá la ventana emergente Descargar archivo como zip que le solicitará que proporcione una contraseña opcional para el archivo. Haga clic en Descargar para completar la descarga del archivo . ZIP.
La aplicación NSX Network Detection and Response solo le permite descargar archivos detectados en determinadas condiciones.
Si el artefacto se considera de bajo riesgo, se mostrará y podrá descargarlo en el equipo local.
Si el artefacto se considera peligroso, no se mostrará a menos que la licencia tenga la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS
.
Debe tener en cuenta que el artefacto puede causar daños al abrirse.
Es posible que la interfaz NSX Network Detection and Response muestre la ventana emergente Advertencia: descargando archivo malintencionado. Haga clic en el botón Acepto para aceptar las condiciones y descargar el archivo.
En el caso de los artefactos malintencionados, encapsule el archivo en un archivo ZIP para evitar que otras soluciones que supervisan el tráfico inspeccionen automáticamente la amenaza.
Si no tiene la capacidad ALLOW_RISKY_ARTIFACT_DOWNLOADS
y necesita poder descargar artefactos malintencionados, póngase en contacto con el servicio de soporte técnico de VMware.
Sección Descripción general del análisis
- MD5: el hash MD5 del archivo. Para buscar otras instancias de este artefacto en la red, haga clic en <icono de búsqueda>.
- SHA1: el hash SHA1 del archivo.
- SHA256 : el hash SHA256 del archivo.
- Tipo de MIME: la etiqueta utilizada para identificar el tipo de datos en el archivo.
- Envío: la marca de tiempo del envío
Sección de nivel de amenaza
La sección Nivel de amenaza comienza con un resumen de los resultados del análisis: El hash md5 del archivo se determinó como malintencionado/benigno.
- Evaluación de riesgos
-
En esta sección se muestran los resultados de la evaluación de riesgos.
- Puntuación de malintencionalidad: establece una puntuación de 100.
- Estimación de riesgo: estimación del riesgo estimado por este artefacto.
- Alto: este artefacto representa un riesgo crítico y debe abordarse con prioridad. Por lo general, estos asuntos son archivos o documentos de Internet que contienen vulnerabilidades de seguridad, lo que pone en peligro el sistema infectado. Los riesgos son múltiples: desde la pérdida de información hasta el fallo del sistema. Estos riesgos se infieren parcialmente del tipo de actividad detectada. El umbral de puntuación de esta categoría suele ser mayor que 70.
- Medio: este artefacto representa un riesgo a largo plazo y debe supervisarse de cerca. Puede ser una página web que contiene contenido sospechoso, lo que podría provocar intentos de ataques drive-by. También pueden ser un adware o producto antivirus falso que no representa una amenaza grave inmediata, pero pueden causar problemas con el funcionamiento del sistema. El umbral de puntuación de esta categoría suele ser de 30 a 70.
- Bajo: este artefacto se considera benigno y puede ignorarlo. El umbral de puntuación de esta categoría suele ser inferior a 30.
-
Clase de antivirus: la clase de antivirus o malware a la que pertenece el artefacto. Por ejemplo, troyanos, gusanos, adware, ransomware, spyware, etc.
-
Familia de antivirus: la familia de antivirus o malware a la que pertenece el artefacto. Por ejemplo, valyria, darkside, etc. Para buscar otras instancias de esta familia, haga clic en el icono de búsqueda.
- Descripción general del análisis
-
La información que se muestra se ordena por gravedad e incluye las siguientes propiedades:
- Gravedad: una puntuación entre 0 y 100 de la malintencionalidad de las actividades detectadas durante el análisis del artefacto. Los iconos adicionales indican los sistemas operativos que pueden ejecutar el artefacto.
- Tipo: los tipos de actividades detectados durante el análisis del artefacto. Estos tipos incluyen:
- Inicio automático: capacidad para reiniciar después de apagar una máquina.
- Deshabilitar: capacidad para deshabilitar componentes críticos del sistema.
- Evasión: capacidad para evadir el entorno de análisis.
- Archivo: actividad sospechosa en el sistema de archivos.
- Memoria: actividad sospechosa dentro de la memoria del sistema.
- Red: actividad sospechosa en el nivel de red.
- Reputación: origen conocido o firmado por una organización de reputación.
- Configuración: capacidad para alterar permanentemente los ajustes críticos del sistema.
- Firma: identificación de asunto malintencionado.
- Robo: capacidad para acceder a información confidencial y potencialmente filtrada.
- Invisible: capacidad para permanecer inadvertido por parte de los usuarios.
- Silenciado: identificación del sujeto benigno.
- Descripción: una descripción correspondiente a cada tipo de actividad detectada durante el análisis del artefacto.
- Tácticas de ATT&CK: la etapa o etapas de un ataque ATT&CK de MITRE. Varias tácticas están separadas por comas.
- Técnicas de ATT&CK: las acciones o herramientas observadas que puede utilizar un actor malintencionado. Varias técnicas están separadas por comas.
- Vínculos: para buscar otras instancias de esta actividad, haga clic en el icono de búsqueda.
- Artefactos adicionales
-
En esta sección se enumeran los artefactos adicionales (archivos y URL) que se observaron durante el análisis de la muestra enviada y que, a su vez, se enviaron para un análisis detallado. Esta sección incluye las siguientes propiedades:
- Descripción: Describe el artefacto adicional.
- SHA1: el hash SHA1 del artefacto adicional.
- Tipo de contenido: el tipo MIME del artefacto adicional.
- Puntuación: la puntuación de malintencionalidad del artefacto adicional. Para ver el informe de análisis asociado, haga clic en .
- Argumentos de la línea de comandos descodificados
- Si se ejecutó algún script de PowerShell durante el análisis, el sistema los descodifica, lo que hace que sus argumentos estén disponibles en un formato más legible.
- Herramientas de terceros
- Un vínculo a un informe sobre el artefacto en el portal VirusTotal.