Utilice el panel de control Prevención de malware para profundizar en los detalles de eventos de los archivos que se extraen en el centro de datos con el fin de realizar un análisis y una supervisión más profundos.
El panel de control puede mostrar eventos de archivos durante los últimos 14 días. Para obtener información sobre el número máximo de eventos de archivo que se admiten en el firewall distribuido y el firewall de puerta de enlace, consulte la herramienta Valores máximos de configuración de VMware en https://configmax.vmware.com/home.
- Página Posible malware
-
Muestra detalles de eventos agregados de archivos maliciosos, archivos sospechosos y archivos sin revisar (de la lista de permitidos) que se extraen en el centro de datos durante un período de tiempo específico.
Una burbuja en el gráfico de burbujas representa un archivo único que se extrae en el centro de datos. Un archivo se identifica de forma exclusiva mediante su hash de archivo. El color y el gráfico dentro de la burbuja indican si el archivo es malintencionado, sospechoso o está sin revisar (de la lista de permitidos).
Una fila de la tabla representa un archivo. El número de la burbuja indica la puntuación de la amenaza calculada para el archivo. La puntuación oscila entre 0 y 100, e indica el grado de riesgo o intención malintencionada que está asociado al archivo. Una puntuación de amenaza alta indica una mayor cantidad de riesgo y viceversa. Por ejemplo:- El rango de puntuación de los archivos benignos es de 0 a 29.
- El rango de puntuación de los archivos sospechosos es de 30 a 69.
- El rango de puntuación de los archivos maliciosos es de 70 a 100.
- Los archivos no especificados tienen una puntuación de -1.
Si el veredicto del archivo es malintencionado o sospechoso, se mostrará la familia de malware y la clase de malware de ese archivo. Un solo archivo puede pertenecer a varias familias de malware y clases de malware. Sin embargo, si la familia y la clase del malware de un archivo son desconocidos para NSX, la información no se mostrará en la interfaz de usuario.
Nota: Para cada archivo, los detalles del evento (detalles de inspección) se agregan y se muestran en el panel de control. Por ejemplo, si se inspecciona un solo archivo cinco veces en el centro de datos, se generarán cinco eventos de archivo. En otras palabras, el recuento de inspecciones para el archivo es cinco. Sin embargo, el gráfico de burbujas muestra una burbuja única para el archivo y la tabla tiene una sola fila para ese archivo. Al señalar una burbuja, se muestra un resumen de las inspecciones realizadas para el archivo. De forma similar, al expandir la fila de un archivo de la tabla, se muestran los detalles de la inspección de archivos más reciente. Sin embargo, el historial de todas las inspecciones anteriores del archivo se conserva y puede consultarla cuando lo necesite.En la siguiente tabla se describe el significado de los iconos utilizados en el gráfico de burbujas.Icono Significado
Una pequeña burbuja en la cronología representa una sola inspección de un archivo.
Una burbuja grande en la cronología representa varias inspecciones para un solo archivo.
Ejemplo: supongamos que se extrae un archivo .exe en cinco máquinas virtuales invitadas durante tres días, y NSX determina que este archivo es sospechoso. En este caso, se han producido cinco inspecciones de archivos únicas para el archivo .exe en el centro de datos. Se muestra una burbuja grande en la cronología sospechosa en la última marca de tiempo inspeccionada. Puede hacer clic en la burbuja para ver el historial de las cinco inspecciones de este archivo .exe.
Un grupo de globos en la escala de tiempo representa varias inspecciones de archivos únicas con el mismo veredicto.
Ejemplo: supongamos que cuatro archivos únicos .docx A, B, C y D se extraen del tráfico norte-sur en el centro de datos al mismo tiempo (o casi al mismo tiempo), y NSX determina que todos estos archivos son malintencionados. Los globos de los cuatro archivos se agrupan y se muestran en la cronología malintencionada del gráfico de burbujas.
- Página Todos los archivos
- Muestra una vista tabular de todos los archivos únicos que se extraen en el centro de datos, incluidos los archivos benignos. En otras palabras, esta página muestra todos los archivos únicos, independientemente del veredicto del archivo. Expanda una fila de la tabla para ver los detalles de la última inspección del archivo.
Requisitos previos
- La función Prevención de malware de NSX está activada en NSX Application Platform.
- La función Prevención de malware de NSX está activada en los clústeres de hosts ESXi o en las puertas de enlace de nivel 1, o en ambos, en función de los requisitos de seguridad.