1

Indique le nombre total de détections d'événements de trafic suspect effectuées par la fonctionnalité Trafic suspect NSX pendant la période sélectionnée.

2

Dans cette section, vous sélectionnez la période que le système utilise pour déterminer les données historiques sur les événements détectés qui sont signalées par Trafic suspect NSX sur cette page de l'interface utilisateur. La période est relative à l'heure actuelle et à une période passée. La valeur par défaut de l'intervalle de temps est Dernière heure. Pour modifier la période sélectionnée, cliquez sur la sélection actuelle et sélectionnez-en une autre dans le menu déroulant. Les sélections disponibles sont Dernière heure, 12 dernières heures, 24 dernières heures, Dernière semaine, 2 dernières semaines et Dernier mois.

3

Le bouton bascule Graphique détermine si le graphique à bulles s'affiche ou non. Lorsque le l'option Graphique est désactivée, seule la grille affiche des informations sur les événements de trafic suspect. Par défaut, il est basculé sur Activé.

4

Si la fonctionnalité NSX Network Detection and Response est activée, lorsque vous affichez l'interface utilisateur de Trafic suspect NSX, l'icône du lanceur d'applications est visible dans le coin supérieur droit de l'interface utilisateur.

Pour afficher plus de détails sur les événements anormaux détectés à l'aide de l'interface utilisateur de NSX Network Detection and Response, cliquez sur l'icône et sélectionnez NSX Network Detection and Response. Dans l'interface utilisateur de NSX Network Detection and Response, cliquez de nouveau sur l'icône du lanceur d'application et sélectionnez NSX pour revenir à l'interface utilisateur Trafic suspect NSX.

5

Ce graphique à bulles fournit une chronologie visuelle du moment où les événements détectés se sont produits au cours de la période sélectionnée. Chaque événement est tracé en fonction de la gravité de l'événement de trafic suspect. Voici les catégories de gravité et leurs scores de gravité correspondants.

6

La zone de filtre vous permet de limiter les événements de trafic suspect qui s'affichent pendant la période sélectionnée. Cliquez sur Filtrer les événements et sélectionnez dans le menu déroulant les filtres à appliquer et des éléments spécifiques dans le menu déroulant secondaire qui s'affiche. Les filtres disponibles incluent les éléments suivants.

• Score de confiance : score attribué par le système en fonction de l'assurance qu'un événement est anormal à l'aide des algorithmes propriétaires utilisés par la fonctionnalité Trafic suspect NSX.

• Détecteur : capteur conçu pour détecter des événements anormaux dans votre flux de trafic réseau. Un détecteur est mappé à une seule catégorie ou technique MITRE ATT&CK.

• Score d'impact : score calculé par un algorithme propriétaire qui utilise une combinaison du score de confiance pour l'événement de trafic suspect et sa gravité, si correctement détecté.

• Tactiques : représente la raison pour laquelle un adversaire a effectué une action à l'aide d'une tactique ATT&CK.

• Techniques : représente comment un adversaire tente d'atteindre un objectif général de son attaque à l'aide de techniques/sous-techniques spécifiques.

• VM : VM ayant pris part aux événements détectés qui se sont produits au cours de la période sélectionnée.

7

Cliquez sur Légende pour répertorier les différents types de bulles qui peuvent apparaître dans le graphique à bulles. La liste suivante décrit chaque bulle et le type d'événement de trafic suspect qu'elle représente.

• Persistance : l'adversaire tente de maintenir sa prise en charge sur les systèmes de votre réseau.

• Accès aux informations d'identification : l'adversaire tente de voler des noms de compte et des mots de passe.

• Détection : l'adversaire tente d'en savoir plus sur votre environnement réseau.

• Commande et contrôle : l'adversaire tente de communiquer avec les systèmes compromis et de les contrôler.

• Déplacement latéral : une adversaire tente de se déplacer dans votre environnement réseau.

• Collecte : un adversaire tente de collecter des informations utiles dans son dernier objectif.

• Exfiltration : l'adversaire tente de voler de données à partir de votre réseau.

• Autre : le détecteur ne peut pas être associé à une tactique spécifique telle que définie dans la structure MITRE ATT&CK.

• Événements multiples : plusieurs événements de trafic suspect se sont produits dans le même segment de temps. Le déplacement du curseur de la fenêtre de temps vers la droite modifie l'étendue du type de bulles qui s'affiche, de sorte qu'une bulle à plusieurs événements peut être divisée en plusieurs bulles et d'autres types de bulles. Si vous cliquez sur une bulle d'événements multiples, la liste de tous les événements s'affiche dans un panneau de signalisation. En cliquant sur une ligne du tableau dans le panneau de signalisation, vous accédez à la ligne de la bulle associée dans la grille ci-dessous.

8

Chaque bulle du graphique représente un événement de trafic suspect ou plusieurs événements qui se sont produits pendant la période sélectionnée. La couleur ou le type de bulle représente la tactique utilisée par l’affinité lors de l’attaque détectée. Pour plus d'informations, reportez-vous aux descriptions dans Légende.

9

Le curseur de la fenêtre de temps vous permet d'afficher les événements de trafic suspect qui se sont produits dans un sous-ensemble de la période sélectionnée. La zone bleue en surbrillance représente ce qui s'affiche dans le graphique à bulles. Lorsque vous faites glisser le curseur vers la droite ou la gauche, le graphique à bulles est mis à jour avec les événements de trafic suspect qui se sont produits pendant la période sélectionnée dans le curseur. S'il existe des événements de trafic suspect qui se sont produits en même temps, une bulle Événements multiples représente ces événements de trafic suspect. Lorsque vous déplacez le curseur vers la droite, vous remarquerez que la bulle Événements multiples se développe dans plusieurs bulles qui représentent les différents événements de trafic suspect qui se sont produits pendant cette période.

10

La grille affiche des informations sur chaque événement de trafic suspect identifié par la fonctionnalité Trafic suspect NSX pendant la période sélectionnée. Lorsqu'elle n'est pas développée, une ligne affiche les données d'événement clés suivantes.

• Impact : le nombre affiché dans l'hexagone correspond au score d'impact calculé par la fonctionnalité Trafic suspect NSX pour l'événement de trafic suspect. Le score d'impact est la combinaison du niveau de confiance de l'événement (score de confiance) et de la dangerosité de la menace (score de gravité), si elle est correctement détectée. Le pointage vers l'icône de l'hexagone affiche une info-bulle contenant le score de confiance et le score de gravité. La couleur de l'hexagone et le texte en regard de celui-ci sont deux autres représentations du même score d'impact. Les scores d'impact sont définis comme suit.

  • Le score d'impact de 75 à 100 est représenté par un hexagone avec une bordure rouge et le texte Critique.
  • Le score d'impact de 50 à 74 est représenté par un hexagone avec une bordure orange et le texte Élevé.
  • Le score d'impact de 25 à 49 est représenté par un hexagone avec une bordure jaune et le texte Moyen.
  • Le score d'impact de 0 à 24 est représenté par un hexagone avec une bordure grise et le texte Faible.

• Heure de détection : date et heure de détection de l'événement.

• Détecteur : nom du détecteur que la fonctionnalité Trafic suspect NSX a utilisé pour détecter l'événement. Lorsque vous cliquez sur le nom du détecteur, une boîte de dialogue affiche plus d'informations sur le détecteur, telles que son objectif, la catégorie ATT&CK et un résumé sur le détecteur. La section Catégorie ATT&CK inclut un lien d'accès au site Web MITRE ATT&CK qui fournit plus de détails sur cette catégorie ATT&CK particulière utilisée dans l'événement de trafic suspect.

• Type : répertorie la tactique et la technique utilisées dans l'événement de trafic suspect

• Objets affectés : répertorie les VM sources et les VM cibles impliquées dans l'événement de trafic suspect.

L'exemple de capture d'écran montre également une ligne développée. Lorsqu'elle est développée, une ligne affiche plus d'informations sur l'événement. Les détails incluent un résumé de l'événement qui a été détecté et une explication de la visualisation ou plus de données d'événements affichées sur la ligne développée. Par exemple, dans la capture d'écran ci-dessus, la ligne développée affiche un résumé de l'événement détecté et de ce que la visualisation représente. Les événements de trafic suspect ne comportent pas tous la fonctionnalité de visualisation. D'autres ne disposent que de données plus détaillées.

11

Une ligne développée peut également afficher un ou plusieurs liens dans le coin inférieur droit. Lorsque vous cliquez dessus, un lien permet d'accéder à une autre page de l'interface utilisateur sur laquelle des informations supplémentaires sur l'événement détecté sont fournies. Voici les liens disponibles, le cas échéant pour l'événement de trafic suspect.

Le lien suivant peut être activé, même si la fonctionnalité NSX Network Detection and Response n'est pas activée.

• Afficher les machines virtuelles affectées et leur trafic  : lorsque vous cliquez sur ce lien, le système affiche le canevas de visualisation dans l'onglet Planifier et dépanner . Il affiche les entités de calcul impliquées dans l'événement de trafic suspect. Pour plus d'informations, reportez-vous à la section Utilisation de la vue Calculs dans NSX Intelligence.

Si l'application NSX Network Detection and Response est activée, les liens suivants peuvent également être disponibles le cas échéant pour l'événement.

• Campagne : si le service de cloud NSX Advanced Threat Prevention a identifié cet événement de trafic suspect comme faisant partie d'une campagne, ce lien est activé. Lorsque vous cliquez sur le lien, les détails de la campagne s'affichent sur la page Campagnes de l'interface utilisateur de NSX Network Detection and Response. Pour plus d'informations, reportez-vous à la rubrique « Gestion de la page Campagnes » dans la section NSX Network Detection and Response du chapitre Sécurité du Guide d'administration de NSX. Vous trouverez Guide d'administration de NSX versions 3.2 et ultérieures dans la Documentation de VMware NSX.

• Détails de l'événement : lorsque vous cliquez sur ce lien, un nouvel onglet de navigateur s'ouvre et des détails supplémentaires sur l'événement de trafic suspect s'affichent sur la page Profil d'événement de l'interface utilisateur de NSX Network Detection and Response. Pour plus d'informations, reportez-vous à la rubrique « Utilisation de la page Événements » dans la section NSX Network Detection and Response du chapitre Sécurité du Guide d'administration de NSX. Vous trouverez Guide d'administration de NSX versions 3.2 et ultérieures dans la Documentation de VMware NSX.