Las amenazas detectadas por NSX Network Detection and Response se representan mediante tarjetas de amenazas en la pestaña Amenazas de la página Perfil de host.
Una tarjeta de amenaza muestra la puntuación de la amenaza calculada, el nombre y la clase de la amenaza, el resultado de detección (si está disponible), el estado de la amenaza y otras acciones. Si está disponible, se mostrará la campaña a la que está conectada esta amenaza. Expanda la tarjeta para ver su evidencia relacionada.
Utilice el menú desplegable Ordenar por para ordenar las tarjetas de amenazas. Puede seleccionar entre Más reciente, Anterior, Mayor impacto (valor predeterminado) y Menor impacto.
El cuadro de texto Buscar amenazas permite hacer una búsqueda rápida mientras introduce la búsqueda. Filtra las filas de la lista, mostrando solo aquellas filas que tienen texto, en cualquier campo, que coincida con la cadena de consulta que especificó.
Active el botón Mostrar amenazas cerradas para filtrar las tarjetas de amenazas mostradas por estado de amenaza. El valor predeterminado es mostrar todas las amenazas.
Gestión de las tarjetas de amenazas
Las tarjetas de amenazas muestran todas las amenazas asociadas con el host seleccionado y sus niveles de amenaza correspondientes. Cada tarjeta muestra el impacto calculado de la amenaza, el nombre de la amenaza, la clase de amenaza y, si está disponible, el resultado de detección. También muestra el estado de la amenaza: Abierta o Cerrada.
Haga clic en Próximos pasos y seleccione una acción en el menú desplegable.
Seleccione Cerrar para cerrar la amenaza. Seleccione Abrir para volver a abrir una amenaza cerrada.
Seleccione Administrar alerta para crear una regla de administración de alertas a partir de la amenaza.
La sección Resumen de evidencia contiene una descripción general de la evidencia y otros datos detectados para la amenaza. Haga clic en la 
o casi en cualquier otro lugar de la tarjeta para expandir los detalles de la evidencia.
Si los datos de campaña conectados a esta amenaza están disponibles, se mostrará Campaña con un vínculo a la barra lateral de resumen Campaña.
Detalles de la evidencia
La columna Evidencia muestra las descargas de archivos, las firmas y otras categorías de tipo de evidencia junto con una marca de tiempo de cuándo se vio la evidencia. Al hacer clic en el vínculo de tipo de evidencia, se mostrará la barra lateral Resumen de evidencia correspondiente a ese tipo en el lado derecho de la página. La barra lateral Resumen de evidencia está disponible para los siguientes tipos de evidencia.
Anomalía
Descarga de archivos
Firma
La columna Interacciones de red e IoC de red muestra la dirección IP o el nombre de dominio de los hosts externos. Al hacer clic en el vínculo, se expandirá la barra lateral Interacción de red.
La columna Datos de soporte proporciona un vínculo a los eventos de detección, así como un vínculo a los detalles de la amenaza.
Resultados de detección
Los resultados de los eventos de detección de amenazas tienen los siguientes posibles valores, enumerados en orden de gravedad.
Resultado de detección |
Descripción |
|---|---|
Correcto |
Se verificó que la amenaza alcanzó su objetivo. Este podría ser que completó su intento de verificación al servidor C&C y se recibieron datos del endpoint malintencionado. |
Error |
La amenaza no pudo alcanzar su objetivo. Esto puede deberse a que el servidor C&C está sin conexión, el atacante generó errores de codificación, etc. |
Bloqueado |
La amenaza fue bloqueada por la aplicación NSX Network Detection and Response o por una aplicación de terceros. |
Si el resultado del evento es desconocido, no se muestra este campo.
Barra lateral interacción de red
Para expandir la barra lateral Interacción de red, haga clic en el vínculo de la dirección IP o el nombre de dominio de un host específico en la columna Interacciones de red e IoC de red de la pestaña Amenazas.
El impacto y la dirección IP del host seleccionado se muestran en la parte superior de la barra lateral.
Resumen de WHOIS
La sección WHOIS muestra los campos clave del registro WHOIS correspondientes a la dirección IP o el nombre de dominio seleccionados. Haga clic en el icono 
para acceder a la ventana emergente WHOIS y obtener más información sobre la dirección IP o el dominio. Consulte Ventana emergente WHOIS para obtener información detallada.
Abrir en
La sección Abrir en... contiene enlaces a proveedores de terceros, como DomainTools, VirusTotal y Google, entre otros. Si hay más proveedores de los que caben en la vista, haga clic en Expandir para ver más 
.
Barra lateral de resumen de evidencia de anomalías
La barra lateral Resumen de evidencia para un tipo de evidencia de anomalía aparece hacer clic en un vínculo de evidencia de anomalía en la columna Evidencia de la pestaña Amenazas.
Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.
Se proporciona una breve descripción de la evidencia.
Detalles de la amenaza
- Amenaza: nombre del riesgo de seguridad detectado.
- Clase de amenaza: nombre de la clase de riesgo de seguridad detectada.
- Primera detección
Última detección: un gráfico con la marca de tiempo de la primera y la última detección de la evidencia. La duración se muestra debajo del gráfico.
Resumen del detector
para ver la ventana emergente
Detector. Consulte
Ventana emergente de documentación del detector para obtener información detallada.
- Nombre del detector: el nombre del detector.
- Objetivo: breve descripción del objetivo del detector.
- Categorización de ATT&CK: si corresponde, se proporciona un vínculo a la técnica ATT&CK de MITRE. De lo contrario, se mostrará N/A.
Detalles de anomalías
| Detalle | Descripción |
|---|---|
| Descripción | Una breve descripción de la anomalía que detalla cómo se desvía del comportamiento de la línea base o por qué debe considerarse sospechoso. |
| Tipo de estado | El tipo de anomalía. Por ejemplo, Atípico. |
| Anomalía | El elemento anómalo detectado en el host. Por ejemplo, acceso a un puerto inusual. |
| Elementos de línea base | Los elementos que se suelen ver en este host. |
| Perfil creado: | Marca de tiempo de la creación de la línea base. |
| Perfil actualizado: | Marca de tiempo para el momento en que se detectó la anomalía. |
| Diagrama de valores atípicos | El diagrama muestra la carga/descarga de datos normal del host para compararla con la transferencia de datos que se marcó como anómala. Es posible que se muestren los siguientes datos, según el detector
|
Barra lateral de resumen de la evidencia de descarga de archivos
La barra lateral Resumen de evidencia para un tipo de evidencia de descarga de archivos aparece al hacer clic en un vínculo de evidencia Descarga de archivos en la columna Evidencia de la pestaña Amenazas.
Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.
Se proporciona una breve descripción de la evidencia.
Detalles del archivo
- Tipo de archivo: el tipo de alto nivel del archivo descargado. Consulte Pestaña Único para obtener la lista de tipos de archivo.
- Confianza: indica la probabilidad de que el archivo descargado sea malintencionado. Dado que el sistema utiliza heurísticas avanzadas para detectar amenazas desconocidas, en algunos casos, la amenaza detectada puede tener un valor de confianza menor si el volumen de información disponible para esa amenaza específica es limitado.
- SHA1: el hash SHA1 del archivo.
Identificación de malware
para ver el informe Análisis. Consulte
Uso del informe Análisis para obtener más información.
- Clase de antivirus: etiqueta que define la clase de antivirus del archivo descargado.
- Familia de antivirus: etiqueta que define la familia de antivirus del archivo descargado.
- Malware: etiqueta que define el tipo de malware del archivo descargado. Si la etiqueta tiene el icono
, haga clic en el icono para ver la descripción en una ventana emergente. - Descripción general del comportamiento: los comportamientos detectados del archivo descargado. Si hay muchos datos, se mostrará una lista parcial de forma predeterminada. Haga clic en Expandir para ver más
. Para contraer la vista de nuevo, haga clic en Contraer para ver menos 
.
Abrir en ...
Para abrir el archivo descargado en un servicio específico, haga clic en uno de los iconos de los proveedores. De forma predeterminada, muestra una lista parcial de proveedores.
Detalles de la descarga
para ver el informe Análisis. Consulte
Uso del informe Análisis para obtener más información.
| Información | Descripción |
|---|---|
| Nombre de archivo | La ruta del recurso al archivo descargado. |
| Dirección URL | La dirección URL completa del archivo descargado. |
| Primera detección | La marca de tiempo desde la primera vez que se detectó el archivo descargado. Si se han producido varias instancias de este archivo, este será un rango de marcas de tiempo. |
| Descargado de | La dirección IP del servidor de origen. |
| Protocolo | El protocolo que se utilizó para transferir el archivo descargado del servidor de origen. |
| Agente de usuario | Si está disponible, se mostrará la cadena del agente de usuario para la solicitud de descarga. |
Barra lateral de resumen de evidencia de firma
La barra lateral Resumen de evidencia para un tipo de evidencia de firma aparece al hacer clic en un vínculo de evidencia de firma en la columna Evidencia de la pestaña Amenazas.
Haga clic en Evento de referencia para acceder a la página Perfil de eventos y a todos los detalles del evento asociado.
Se proporciona una breve descripción de la evidencia.
Detalles de la amenaza
Se proporcionan los siguientes detalles sobre la amenaza.
Detalle |
Descripción |
|---|---|
Amenaza |
Nombre del riesgo de seguridad detectado. |
Clase de amenaza |
Nombre de la clase de riesgo de seguridad detectada. |
Actividad |
Si está disponible, muestra la actividad actual detectada de la amenaza. |
Confianza |
Indica la probabilidad de que la amenaza detectada sea malintencionada. Para los eventos que muestran resultados de análisis, como una descarga de archivos, se muestra una puntuación. |
Primera detección Última detección |
Un gráfico con la marca de tiempo de la primera y la última detección de la evidencia. La duración se muestra debajo del gráfico. |
Detalles del tráfico
El widget Tráfico de eventos de referencia proporciona una descripción general del tráfico observado entre los hosts implicados en el evento de referencia. Al menos un host implicado en el evento es un host supervisado. El host que se comunica puede ser un host supervisado o un sistema externo.
La flecha indica la dirección del tráfico entre los hosts.
Para cada host, se muestra la dirección IP. Si el host es local, la dirección será un vínculo en el que puede hacer clic para ver la página Perfil de host. Es posible que se muestre una marca de ubicación geográfica, el icono 
o el icono 
. Se pueden mostrar varios. Si está disponible, se mostrará un nombre de host. Se mostrarán todas las etiquetas de host aplicadas al host. Si está disponible, haga clic en el icono 
para ver los detalles del host en la ventana emergente WHOIS. Consulte Ventana emergente WHOIS para obtener detalles.
Resumen del detector
Se muestra un resumen del detector. Para obtener más información, haga clic en el vínculo Más detalles para ver la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener detalles.
Nombre del detector: el nombre del detector.
Objetivo: breve descripción del objetivo del detector.
Regla de IDS: haga clic en el vínculo Ver regla (si está disponible) para abrir la ventana emergente Detector. Consulte Ventana emergente de documentación del detector para obtener detalles. Puede contener una regla de IDS.
