Las detecciones, también denominadas eventos de detección o eventos, representan la actividad relevante para la seguridad producida en la red y detectada por NSX Network Detection and Response. Las detecciones permiten la clasificación y la investigación de amenazas mediante la presentación del análisis de todos los eventos de amenazas, independientemente del tipo de evento en el entorno de NSX.

Cuando el sistema de NSX Network Detection and Response recibe nuevos datos de detección, los compara con eventos de detección existentes para determinar si la nueva detección se puede agregar a un evento de detección existente. Para obtener más información sobre cómo se agregan las detecciones, consulte Adición de detecciones.

Los eventos de detección se pueden correlacionar entre sí para formar una campaña. Si un evento de detección no tiene ninguna correlación con ninguna otra detección, no se incluirá en ninguna campaña.

Ver la lista unificada de eventos

Para ver todos los eventos de detección generados por NSX Network Detection and Response, desplácese hasta la página Detección y respuesta a amenazas > Detecciones. Esta página incluye un histograma en la parte superior de la página y una lista debajo del histograma. La lista se conoce como lista de eventos unificada y muestra todos los eventos de detección. Cada fila de la lista representa un evento de detección.

Página Detección

  • Haga clic en Copiar URL en la parte superior derecha de la página para copiar la dirección del vínculo con los filtros aplicados actualmente.

Filtrar la lista unificada de eventos

Puede filtrar la lista de eventos unificada con los siguientes métodos:
Método Detalles
Casillas de verificación

Haga clic en las casillas situadas sobre el histograma para filtrar la lista de eventos unificada en función de la puntuación de impacto de la detección.

Consulte Acerca de las puntuaciones de impacto de las detecciones para obtener más información sobre las puntuaciones de impacto de las detecciones.

Casillas de verificación de los niveles de puntuación de impacto.
Histograma

Haga clic en las barras del histograma para filtrar la lista de eventos unificada en función de la táctica de MITRE ATT&CK identificada en la detección.

Histograma de las detecciones ordenadas por tácticas de MITRE ATT&CK.
Campo de filtro

Haga clic en el campo de filtro para ver opciones de filtrado más potentes:

  1. En el menú desplegable, seleccione un criterio de filtro. Los criterios disponibles son:
    • Puntuación de impacto
    • Tipo
    • Táctica de MITRE
    • Técnica de MITRE
    • Amenaza
    • Resultado del ataque
    • Carga de trabajo afectada
    • Campañas
    • Carga de trabajo afectada por la IP

    Opciones de filtrado.

  2. Especifique si desea incluir o excluir los resultados del criterio de filtro seleccionado y, a continuación, haga clic en Aplicar.

    Opciones de criterios de filtro específicos incluidas.

  3. Para combinar varios filtros, puede:
    • Utilice la lógica OR entre criterios en el mismo filtro.
    • Utilice la lógica AND entre filtros.

Ver un resumen de eventos de detección

Expanda la fila de detección y haga clic en Más detalles para ver el resumen de detección.

Resumen de detección

Tipo de detección

Puede ver el icono de tipo de detección en la columna Tipo. Pase el cursor sobre para ver el tipo de detección.

Icono de tipo de detección. Pase el cursor por encima para ver el nombre

Iconos y tipos de detección que aparecen en la interfaz de usuario de NDR

Exportar y descargar archivos de captura de paquetes

En la pestaña Datos de flujo del resumen de detección, puede exportar y descargar los archivos de captura de paquetes (PCAP) capturados por NSX IDS/IPS. Para obtener más información sobre PCAP, consulte Exportar y descargar archivos de captura de paquetes.
Nota: El archivo PCAP está disponible para los eventos de IDS/IPS distribuido/E-O y si las PCAP están habilitadas en el perfil de IDS. Si el archivo PCAP no está disponible, no se mostrará el vínculo. Además, tanto NSX como Plataforma de aplicaciones NSX deben estar en la versión 4.2 o posterior.

Descripción general del comportamiento de malware

En la sección Comportamiento de malware se proporciona información del análisis dinámico que se realizó en la instancia de software malintencionado que está relacionada con el evento.

Haga clic en Ver informes para acceder a información técnica detallada sobre qué hace el malware, cómo funciona y qué tipo de riesgo supone. Para obtener más información sobre la información mostrada, consulte Detalles del informe de análisis.

Nota: Si no se detectó ningún software malintencionado para el evento, esta sección no aparecerá.