NSX Network Detection and Response proporciona un mecanismo de filtrado que le permitirá centrarse en la información de incidentes específica de su interés. El uso de filtros es opcional.
Procedimiento
- En la página Incidentes, haga clic en para expandir el widget Filtros.
- Haga clic en cualquier lugar del cuadro de texto Filtra en y seleccione un elemento en el menú desplegable.
Puede seleccionar entre los siguientes filtros disponibles. Para delimitar aún más el foco de la información que se muestra, puede combinar varios filtros.
Nombre de filtro Descripción UUID de campaña Restrinja las entradas mostradas por el UUID de campaña. Se trata de una cadena hexadecimal de 32 caracteres, por ejemplo,
7dabc0fc9b3f478a850e1089a923df3a
.Como alternativa, introduzca la cadena
null
para seleccionar registros que no pertenezcan a ninguna campaña.Red de inicio Restrinja las entradas mostradas por la configuración de la red de inicio. Seleccione Solo red de inicio o Solo redes sin identificar en el menú desplegable.
IP de host Restrinja las entradas mostradas a una dirección IP de origen, un rango de direcciones IP o un bloque CIDR específicos. Escriba el valor en el cuadro de texto.
Nombre del host Restrinja las entradas mostradas por el nombre de host. Se debe proporcionar la etiqueta o el nombre de host completos.
Prioridad Restrinja las entradas mostradas según el estado de Prioridad. Seleccione Infecciones, Lista de inspección o Molestias en el menú desplegable.
Lectura Restrinja las entradas mostradas por su estado de lectura. Seleccione Leído o Sin leer en el menú desplegable.
Estado Restrinja las entradas mostradas por su estado. Seleccione Cerrado o Abierto en el menú desplegable.
Amenaza Restrinja las entradas mostradas por una amenaza específica. Seleccione una amenaza en el menú desplegable. El menú se rellena automáticamente con una lista de amenazas catalogadas.
Utilice la función de búsqueda en la parte superior del menú para encontrar rápidamente un nombre de amenaza.
Clase de amenaza Restrinja las entradas mostradas a una clase específica de amenazas. Seleccione la clase de amenaza en el menú desplegable. El menú se rellena automáticamente con un catálogo de clases, algunos de los cuales se enumeran a continuación. Utilice la función de búsqueda en la parte superior del menú para encontrar rápidamente un nombre de clase.
- adware: malware que muestra o descarga anuncios en un equipo infectado.
- fraude de clics: el fraude de clics se centra en la publicidad en línea de pago por clic.
- comando y control: una máquina infectada pertenece a un botnet y un atacante puede controlar la máquina de forma remota.
- drive-by: un atacante intentó explotar una vulnerabilidad en la máquina para instalar malware adicional en el sistema de destino.
- kit de herramientas de explotación: detección de un kit de herramientas de explotación que intentó un ataque de descarga drive-by
-
falso av: software antivirus falso u otro tipo de software de seguridad no autorizado diseñado para simular o malinformar a los usuarios.
- C&C inactivo: el servidor de comando y control de este botnet específico está inactivo.
- Prueba de bloqueo de VMware: el dominio block.lastline.com se utiliza para probar el bloqueo de conexiones de red y los eventos seleccionados pertenecen a esta clase.
- Prueba de VMware: el dominio test.lastline.com se utiliza para probar la funcionalidad de la configuración y los eventos seleccionados pertenecen a esta clase.
- Descarga de archivos malintencionados, distribución de malware y descarga de malware: la dirección IP o el dominio alojan ejecutables malintencionados.
- sinkhole: una organización legítima opera un agujero de recepción, por lo que no representa una amenaza. Sin embargo, los hosts que intenten ponerse en contacto con ese host pueden verse afectados.
- spyware: malware que intenta el robo de información confidencial.
- dns sospechoso: los dominios DNS sospechosos son dominios a los que se contacta mediante malware que se ejecuta en máquinas infectadas. Nuestras técnicas patentadas pudieron identificar de forma proactiva estos dominios como malintencionados.
- desconocido: se detectó un riesgo de seguridad desconocido.
- Para aplicar los filtros seleccionados, haga clic en Aplicar.
- (opcional) Para eliminar un filtro individual, haga clic en el botón Eliminar – junto a su entrada. Para eliminar todos los filtros seleccionados, haga clic en el icono situado en el lado derecho del widget Filtros.
El widget Filtros se contrae al eliminar todos los filtros seleccionados.