Para acceder a la página Perfil del evento, seleccione el botón Detalles situado en la parte superior de la barra lateral Resumen de eventos.
Hay una serie de controles y botones en la parte superior de la vista:
Haga clic en Eventos similares para ver una lista desplegable de funciones similares. Haga clic en el icono junto a cada uno y seleccione Destino, Puerto de destino, IP de origen, Protocolo de transporte, Clase de amenaza y Tipo de amenaza. A continuación, haga clic Ver eventos para ver los eventos seleccionados en una pestaña nueva.
Haga clic en Administrar alerta para iniciar la barra lateral Administrar alerta. Utilice esta función para suprimir o degradar eventos inofensivos, como los eventos de prueba o bloqueo del sistema, o para aplicar puntuaciones personalizadas a eventos específicos. Consulte Trabajar con la barra lateral Administrar alerta para obtener detalles.
Haga clic en el icono para contraer todos los campos o en el icono para expandir todos los campos.
Descripción general de eventos
La sección superior proporciona una descripción general visual de la amenaza o el malware que ha detectado la aplicación NSX Network Detection and Response y muestra la clase de amenaza y la puntuación de impacto de la amenaza.
Resumen de eventos
La sección Resumen de eventos proporciona una explicación del motivo por el que la aplicación NSX Network Detection and Response marcó este evento, identifica la amenaza o el malware asociado a este evento, describe brevemente la actividad detectada y muestra los datos de respaldo.
Si está disponible en el servicio de nube NSX Advanced Threat Prevention, se mostrará una explicación detallada del evento y el motivo por el que se considera malintencionado en la parte superior de la sección Resumen de eventos.
Bloque de servidores
El bloque de servidores muestra los siguientes datos.
Datos |
Descripción |
---|---|
Nombre del host |
Si está disponible, el FQDN del servidor. |
Dirección IP |
La dirección IP del servidor de. Es posible que se muestre una marca de ubicación geográfica. Si se muestra el icono , haga clic en el vínculo para ver más detalles en la página Perfil de host. Si está disponible, haga clic en el icono para ver las etiquetas de reputación del cliente. Si está disponible, haga clic en el icono para ver la información de registro y otros datos sobre el host en la ventana emergente WHOIS. |
Dirección MAC |
Si está disponible, la dirección MAC del servidor. Esta dirección se obtiene de la supervisión del tráfico DHCP y es uno de los puntos de datos que utiliza el sistema para generar una entrada de HostID única que se asigna a un host específico de la red, independientemente de su dirección IP. |
Bloque de clientes
El bloque de clientes muestra los siguientes datos.
Datos |
Descripción |
---|---|
Nombre del host |
Si está disponible, el FQDN del cliente. |
Dirección IP |
La dirección IP del cliente. Es posible que se muestre una marca de ubicación geográfica. Si está disponible, haga clic en la dirección o en el icono para ver la página Perfil de host. Si está disponible, haga clic en el icono para ver las etiquetas de reputación del cliente. Si está disponible, haga clic en el icono para ver la información de registro y otros datos sobre el host en la ventana emergente WHOIS. |
Dirección MAC |
Si está disponible, la dirección MAC del cliente. Esta dirección se obtiene de la supervisión del tráfico DHCP y es uno de los puntos de datos que utiliza el sistema para generar una entrada de HostID única que se asigna a un host específico de la red, independientemente de su dirección IP. |
Metadatos de eventos
La sección Metadatos de eventos muestra los siguientes datos.
Datos |
Descripción |
---|---|
Resultado de verificación |
Indica el resultado del evento. Estos son los valores posibles:
Si el resultado del evento es desconocido, no se muestra este campo. |
Nombre del verificador |
El nombre del verificador de eventos. Haga clic en el vínculo para acceder a la ventana emergente Documentación del verificador. |
Mensaje del verificador |
Un mensaje del verificador que proporciona más información sobre el resultado, por ejemplo, qué aplicación de terceros bloqueó la amenaza. |
Sensor |
El sensor que detectó el evento. |
Conexiones |
Número de conexiones incluidas en el evento. |
Acción |
Una lista de acciones realizadas por el sensor (por ejemplo, cualquier actividad de bloqueo, si el evento se registra, si se capturó tráfico o se extrajo una descarga de malware). |
Usuarios que iniciaron sesión |
Una lista de los usuarios detectados en los registros registrados. |
Resultado |
El resultado del evento. En la mayoría de los casos, el resultado es DETECCIÓN. Para los eventos INFO y los eventos que se promocionaron desde el estado INFO, una etiqueta adicional proporciona el motivo de su cambio de estado. Al pasar el cursor sobre la etiqueta, se muestra una ventana emergente que proporciona detalles adicionales sobre el motivo. |
Incidente relacionado |
Vínculo permanente a un incidente correlacionado. Al hacer clic en el enlace , se abre la página Perfil del incidente en una nueva pestaña del navegador. Este evento puede ser uno de varios eventos estrechamente relacionados que se correlacionan automáticamente con un incidente. |
Identificador de evento |
Consulte el evento en la página Detalles del evento de red. El enlace se abre en una nueva pestaña del navegador. |
Hora de inicio |
Una marca de tiempo para el comienzo del evento. |
Hora de finalización |
Una marca de tiempo para el final del evento. |
Malware capturado
La sección Malware capturado proporciona información del análisis dinámico que se realizó en la instancia de software malintencionado que está relacionada con el evento.
Puede acceder a información técnica detallada sobre qué hace el malware, cómo funciona y qué tipo de riesgo supone. Para obtener más información sobre la información mostrada, consulte Uso del informe Análisis.
Si no se detectó ningún software malintencionado para el evento, esta sección no aparecerá.
Evidencia de evento
La sección Evidencia de evento proporciona detalles de las acciones observadas al analizar el evento.
Las acciones pueden incluir la descarga de archivos malintencionados, el tráfico de red que coincide con la firma de red de las amenazas conocidas, la resolución de nombres de dominio de un dominio de malware bloqueado, una ruta de URL incorrecta conocida, etc.
Si está disponible, haga clic en el vínculo Detector para ver la ventana emergente Documentación del detector. Consulte también Acerca de la evidencia para obtener más información.
Reputación del host
La sección Reputación del host proporciona información sobre entradas de reputación de URL o hosts malintencionados conocidos que aparecen en el evento.
Si el host no tiene historial conocido, esta sección no aparecerá.
Datos de anomalías
Esta sección muestra los registros de DNS pasivos o de netflow que provocaron el evento de anomalía.
Se denominará Dalos de anomalías de DNS o Datos de anomalías de Netflow, según la anomalía vista.
Se puede proporcionar información adicional, como las direcciones IP o los puertos que se clasificaron como anómalos. Si hay un gran número de elementos involucrados, puede hacer clic en el # para exponer todos los elementos.
Si no se ha detectado ninguna anomalía para el evento, esta sección no aparecerá.
Descripción de la amenaza
La sección Descripción de la amenaza proporciona una descripción detallada de la amenaza asociada con el evento.
Mitigación
La sección Mitigación proporciona instrucciones detalladas para eliminar cualquier software malintencionado y otros procesos recomendados para limpiar después del evento.
Si no hay ningún proceso de mitigación conocido para el evento, esta sección no aparecerá.