NSX Network Detection and Response proporciona un mecanismo de filtrado que le permitirá centrarse en la información de incidentes específica de su interés. El uso de filtros es opcional.

Procedimiento

  1. En la página Incidentes, haga clic en icono expandir para expandir el widget Filtros.
  2. Haga clic en cualquier lugar del cuadro de texto Filtra en y seleccione un elemento en el menú desplegable.
    Puede seleccionar entre los siguientes filtros disponibles. Para delimitar aún más el foco de la información que se muestra, puede combinar varios filtros.
    Nombre de filtro Descripción
    UUID de campaña

    Restrinja las entradas mostradas por el UUID de campaña. Se trata de una cadena hexadecimal de 32 caracteres, por ejemplo, 7dabc0fc9b3f478a850e1089a923df3a.

    Como alternativa, introduzca la cadena null para seleccionar registros que no pertenezcan a ninguna campaña.

    Red de inicio

    Restrinja las entradas mostradas por la configuración de la red de inicio. Seleccione Solo red de inicio o Solo redes sin identificar en el menú desplegable.

    IP de host

    Restrinja las entradas mostradas a una dirección IP de origen, un rango de direcciones IP o un bloque CIDR específicos. Escriba el valor en el cuadro de texto.

    Nombre del host

    Restrinja las entradas mostradas por el nombre de host. Se debe proporcionar la etiqueta o el nombre de host completos.

    Prioridad

    Restrinja las entradas mostradas según el estado de Prioridad. Seleccione Infecciones, Lista de inspección o Molestias en el menú desplegable.

    Lectura

    Restrinja las entradas mostradas por su estado de lectura. Seleccione Leído o Sin leer en el menú desplegable.

    Estado

    Restrinja las entradas mostradas por su estado. Seleccione Cerrado o Abierto en el menú desplegable.

    Amenaza

    Restrinja las entradas mostradas por una amenaza específica. Seleccione una amenaza en el menú desplegable. El menú se rellena automáticamente con una lista de amenazas catalogadas.

    Utilice la función de búsqueda en la parte superior del menú para encontrar rápidamente un nombre de amenaza.

    Clase de amenaza

    Restrinja las entradas mostradas a una clase específica de amenazas. Seleccione la clase de amenaza en el menú desplegable. El menú se rellena automáticamente con un catálogo de clases, algunos de los cuales se enumeran a continuación. Utilice la función de búsqueda en la parte superior del menú para encontrar rápidamente un nombre de clase.

    • adware: malware que muestra o descarga anuncios en un equipo infectado.
    • fraude de clics: el fraude de clics se centra en la publicidad en línea de pago por clic.
    • comando y control: una máquina infectada pertenece a un botnet y un atacante puede controlar la máquina de forma remota.
    • drive-by: un atacante intentó explotar una vulnerabilidad en la máquina para instalar malware adicional en el sistema de destino.
    • kit de herramientas de explotación: detección de un kit de herramientas de explotación que intentó un ataque de descarga drive-by
    • falso av: software antivirus falso u otro tipo de software de seguridad no autorizado diseñado para simular o malinformar a los usuarios.

    • C&C inactivo: el servidor de comando y control de este botnet específico está inactivo.
    • Prueba de bloqueo de VMware: el dominio block.lastline.com se utiliza para probar el bloqueo de conexiones de red y los eventos seleccionados pertenecen a esta clase.
    • Prueba de VMware: el dominio test.lastline.com se utiliza para probar la funcionalidad de la configuración y los eventos seleccionados pertenecen a esta clase.
    • Descarga de archivos malintencionados, distribución de malware y descarga de malware: la dirección IP o el dominio alojan ejecutables malintencionados.
    • sinkhole: una organización legítima opera un agujero de recepción, por lo que no representa una amenaza. Sin embargo, los hosts que intenten ponerse en contacto con ese host pueden verse afectados.
    • spyware: malware que intenta el robo de información confidencial.
    • dns sospechoso: los dominios DNS sospechosos son dominios a los que se contacta mediante malware que se ejecuta en máquinas infectadas. Nuestras técnicas patentadas pudieron identificar de forma proactiva estos dominios como malintencionados.
    • desconocido: se detectó un riesgo de seguridad desconocido.
  3. Para aplicar los filtros seleccionados, haga clic en Aplicar.
  4. (opcional) Para eliminar un filtro individual, haga clic en el botón Eliminar – junto a su entrada. Para eliminar todos los filtros seleccionados, haga clic en el icono icono cerrar situado en el lado derecho del widget Filtros.
    El widget Filtros se contrae al eliminar todos los filtros seleccionados.