Supervisar los detalles de los eventos de archivo en el panel de control de prevención de malware

Utilice el panel de control Prevención de malware para profundizar en los detalles de eventos de los archivos que se extraen en el centro de datos con el fin de realizar un análisis y una supervisión más profundos.

El panel de control puede mostrar eventos de archivos durante los últimos 14 días. Para obtener información sobre el número máximo de eventos de archivo que se admiten en el firewall distribuido y el firewall de puerta de enlace, consulte la herramienta Valores máximos de configuración de VMware en https://configmax.vmware.com/home.

La información sobre los eventos de archivo (inspecciones de archivos) se muestra en páginas de dos pestañas.

Página Posible malware

Muestra detalles de eventos agregados de archivos maliciosos, archivos sospechosos y archivos sin revisar (de la lista de permitidos) que se extraen en el centro de datos durante un período de tiempo específico.

Una burbuja en el gráfico de burbujas representa un archivo único que se extrae en el centro de datos. Un archivo se identifica de forma exclusiva mediante su hash de archivo. El color y el gráfico dentro de la burbuja indican si el archivo es malintencionado, sospechoso o está sin revisar (de la lista de permitidos).

Una fila de la tabla representa un archivo. El número de la burbuja indica la puntuación de la amenaza calculada para el archivo. La puntuación oscila entre 0 y 100, e indica el grado de riesgo o intención malintencionada que está asociado al archivo. Una puntuación de amenaza alta indica una mayor cantidad de riesgo y viceversa. Por ejemplo:

El rango de puntuación de los archivos benignos es de 0 a 29.
El rango de puntuación de los archivos sospechosos es de 30 a 69.
El rango de puntuación de los archivos maliciosos es de 70 a 100.
Los archivos no especificados tienen una puntuación de -1.

Si el veredicto del archivo es malintencionado o sospechoso, se mostrará la familia de malware y la clase de malware de ese archivo. Un solo archivo puede pertenecer a varias familias de malware y clases de malware. Sin embargo, si la familia y la clase del malware de un archivo son desconocidos para NSX, la información no se mostrará en la interfaz de usuario.

Nota: Para cada archivo, los detalles del evento (detalles de inspección) se agregan y se muestran en el panel de control. Por ejemplo, si se inspecciona un solo archivo cinco veces en el centro de datos, se generarán cinco eventos de archivo. En otras palabras, el recuento de inspecciones para el archivo es cinco. Sin embargo, el gráfico de burbujas muestra una burbuja única para el archivo y la tabla tiene una sola fila para ese archivo. Al señalar una burbuja, se muestra un resumen de las inspecciones realizadas para el archivo. De forma similar, al expandir la fila de un archivo de la tabla, se muestran los detalles de la inspección de archivos más reciente. Sin embargo, el historial de todas las inspecciones anteriores del archivo se conserva y puede consultarla cuando lo necesite.

En la siguiente tabla se describe el significado de los iconos utilizados en el gráfico de burbujas.

Icono	Significado
	Una pequeña burbuja en la cronología representa una sola inspección de un archivo.
	Una burbuja grande en la cronología representa varias inspecciones para un solo archivo. Ejemplo: supongamos que se extrae un archivo .exe en cinco máquinas virtuales invitadas durante tres días, y NSX determina que este archivo es sospechoso. En este caso, se han producido cinco inspecciones de archivos únicas para el archivo .exe en el centro de datos. Se muestra una burbuja grande en la cronología sospechosa en la última marca de tiempo inspeccionada. Puede hacer clic en la burbuja para ver el historial de las cinco inspecciones de este archivo .exe.
	Un grupo de globos en la escala de tiempo representa varias inspecciones de archivos únicas con el mismo veredicto. Ejemplo: supongamos que cuatro archivos únicos .docx A, B, C y D se extraen del tráfico norte-sur en el centro de datos al mismo tiempo (o casi al mismo tiempo), y NSX determina que todos estos archivos son malintencionados. Los globos de los cuatro archivos se agrupan y se muestran en la cronología malintencionada del gráfico de burbujas.

Icono

Significado

Una pequeña burbuja en la cronología representa una sola inspección de un archivo.

Una burbuja grande en la cronología representa varias inspecciones para un solo archivo.

Ejemplo: supongamos que se extrae un archivo .exe en cinco máquinas virtuales invitadas durante tres días, y NSX determina que este archivo es sospechoso. En este caso, se han producido cinco inspecciones de archivos únicas para el archivo .exe en el centro de datos. Se muestra una burbuja grande en la cronología sospechosa en la última marca de tiempo inspeccionada. Puede hacer clic en la burbuja para ver el historial de las cinco inspecciones de este archivo .exe.

Un grupo de globos en la escala de tiempo representa varias inspecciones de archivos únicas con el mismo veredicto.

Ejemplo: supongamos que cuatro archivos únicos .docx A, B, C y D se extraen del tráfico norte-sur en el centro de datos al mismo tiempo (o casi al mismo tiempo), y NSX determina que todos estos archivos son malintencionados. Los globos de los cuatro archivos se agrupan y se muestran en la cronología malintencionada del gráfico de burbujas.

Página Todos los archivos

Muestra una vista tabular de todos los archivos únicos que se extraen en el centro de datos, incluidos los archivos benignos. En otras palabras, esta página muestra todos los archivos únicos, independientemente del veredicto del archivo. Expanda una fila de la tabla para ver los detalles de la última inspección del archivo.

Requisitos previos

La función Prevención de malware de NSX está activada en NSX Application Platform.
La función Prevención de malware de NSX está activada en los clústeres de hosts ESXi o en las puertas de enlace de nivel 1, o en ambos, en función de los requisitos de seguridad.

Procedimiento

En su navegador, inicie sesión en un NSX Manager en https://dirección-ip-nsx-manager.
Haga clic en Seguridad y, a continuación, en el panel de navegación izquierdo, haga clic en Prevención de malware .
Se mostrará la página Posible malware. De forma predeterminada, el gráfico de burbujas y la tabla muestran los archivos que se extrajeron durante la última hora. Para ver los archivos de un período de tiempo diferente, haga clic en el menú desplegable situado en la esquina superior derecha de esta página y seleccione un período de tiempo diferente.
(opcional) Haga clic en el icono de filtro situado en la esquina superior derecha de la página y seleccione los criterios para filtrar la información de la página.
Los criterios de filtro se aplican tanto al gráfico de burbujas como a la tabla. Se admiten los siguientes criterios de filtro:
- Veredicto (incluida la lista de permitidos)
- Hash SHA256
- Bloqueado
- Tipo de archivo
- Clase de malware
- Familia de malware

Supervise los detalles de los eventos de archivo (inspecciones) que se muestran en el panel de control.

Coloque el puntero sobre una burbuja para ver la información de resumen sobre las inspecciones de un archivo en una ventana emergente.
La información de la ventana emergente varía en función de si apunta a una burbuja pequeña, a una burbuja grande o a un grupo de burbujas. Por ejemplo, al señalar una burbuja pequeña, la ventana emergente muestra información de resumen sobre una sola inspección del archivo.
Arrastre la cronología en el gráfico de burbujas para alejar o acercar la imagen, si es necesario.

Haga clic en una burbuja para ir directamente a ese archivo en la tabla. Expanda la fila para ver los detalles completos sobre la inspección más reciente de este archivo.

Campo	Descripción
Tipo de archivo	El tipo de archivo que se extrae en el nodo de transporte (host o Edge). Por ejemplo, PdfDocFile, PeExeFile, ShellScriptFile, etc.
Detalles de tipo de archivo	Breve información sobre el tipo de archivo.
Cliente (último)	La máquina de destino que recibió el archivo en la última inspección. Para los archivos que se extraen en las máquinas virtuales de endpoint en el tráfico distribuido este-oeste dentro del centro de datos, el cliente es la propia máquina virtual de endpoint. Para los archivos que se extraen en las instancias de NSX Edge en el tráfico norte-sur, la dirección del tráfico determina el cliente. Por ejemplo, si una máquina virtual dentro del centro de datos está cargando un archivo en una máquina fuera del centro de datos, el cliente es la máquina fuera del centro de datos. Si una máquina virtual dentro del centro de datos está descargando un archivo desde una máquina fuera del centro de datos, el cliente es la máquina virtual dentro del centro de datos.
Servidor (último)	La máquina de origen desde la que se recibió el archivo en la última inspección. Para los archivos que se extraen en las máquinas virtuales de endpoint en el tráfico este-oeste distribuido dentro del centro de datos, Prevención de malware de NSX no puede determinar el origen del archivo. Por lo tanto, el cuadro Servidor (último) siempre está vacío. Para los archivos que se extraen en las instancias de NSX Edge en el tráfico norte-sur, la dirección del tráfico determina el servidor. Por ejemplo, si una máquina virtual dentro del centro de datos está descargando un archivo en una máquina fuera del centro de datos, el servidor es la máquina fuera del centro de datos. Si una máquina virtual dentro del centro de datos está cargando un archivo a una máquina fuera del centro de datos, el servidor es la máquina virtual dentro del centro de datos.
Nombre de archivo	Los nombres asociados con el archivo. Un único archivo tiene un hash único, pero los clientes que lo recibieron pueden guardar el archivo con nombres diferentes.
Protocolo	El protocolo utilizado para la transferencia de archivos. Por ejemplo, HTTP, FTP, HTTPS, etc.
Cargas de trabajo	Haga clic en el número junto a este campo para ver la lista de todas las máquinas virtuales de carga de trabajo en el centro de datos que se ven afectadas por el archivo.
Total de inspecciones	Haga clic en el número junto a este campo para ver el historial de todas las inspecciones realizadas para el archivo. Por ejemplo, si el archivo se inspecciona 10 veces en el centro de datos, la ventana emergente mostrará un resumen de las 10 inspecciones.
Tipo de firewall	El valor es `Distribuido/Host` o `Edge`. Si el archivo se extrajo por última vez del host ESXi en el que se ejecuta el firewall distribuido, el valor será `Distribuido` o `Host`. Si el archivo se extrajo por última vez de la instancia de Edge donde se ejecuta el firewall de puerta de enlace, el valor será `Edge`.
Nodo de transporte	El identificador del nodo de transporte de Edge o del nodo de transporte del host donde se extrajo el archivo en la última inspección.
Primera inspección	La fecha y la hora en que se inspeccionó el archivo por primera vez en el centro de datos.
Última inspección	La fecha y la hora en que se inspeccionó el archivo por última vez en el centro de datos.
Enviado por	El valor siempre es `Sistema`, lo que significa que NSX envió el archivo a la nube para un análisis detallado. Este campo se eliminó a partir de NSX 4.1.1.
UUID de analista	El UUID del envío de archivos a la nube para un análisis detallado. El UUID se muestra independientemente de si el archivo se envió a la nube durante la última inspección o en cualquiera de las inspecciones anteriores. Si el archivo se envió a la nube varias veces, se mostrará el UUID del último envío.
Bloqueado	Indica si el archivo está bloqueado. El valor es Sí o No.

(opcional) Realice las siguientes tareas adicionales:

Haga clic en la pestaña Todos los archivos.
Esta página muestra una lista de todos los archivos únicos que se extraen en el centro de datos, independientemente del veredicto del archivo. De forma predeterminada, se mostrarán los archivos extraídos en la última hora. Para ver la lista de archivos de un período de tiempo diferente, haga clic en el menú desplegable situado en la esquina superior derecha de esta página y seleccione un período de tiempo diferente.