La vue Détails des fichiers téléchargés est développée dans la liste Téléchargement des fichiers.

Un sous-ensemble des détails disponibles suivants s'affiche, selon l'onglet que vous avez sélectionné sur la page Fichiers téléchargés.

Nom du détail

Description

Rapport d’analyse

Cliquez sur le lien ou l'icône icône Lien pour afficher le rapport d'analyse dans un nouvel onglet du navigateur.

Type de fichier

Type de haut niveau du fichier téléchargé. Reportez-vous à la section Fichiers téléchargés dans le temps pour obtenir la liste des types de fichiers.

Détails du type de fichier

Si disponible, plus de détails sur le type de fichier. Par exemple, PE executable, application, 32-bit, Intel i386 ou Zip archive data.

Nom du fichier

S'il est disponible, le nom du fichier.

Téléchargé

Pour des téléchargements uniques, nombre de fois que le fichier a été téléchargé par les hôtes du réseau.

Cliquez sur le nombre ou sur l'icône icône Rechercher pour afficher les téléchargements de fichiers sur la page des téléchargements. Le lien transmet un filtre UUID d'analyste qui limite la vue aux téléchargements du fichier spécifique.

Téléchargé par

Adresse(s) IP du ou des hôtes du réseau ayant téléchargé le fichier.

Si disponible, cliquez sur l'icône icône whois pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans Fenêtre contextuelle WHOIS.

URL

URL du téléchargement du fichier. Il s'agit d'une chaîne Unicode codée en UTF-8.

URL

URL brute du téléchargement du fichier. S'il existe des caractères non-ASCII dans l'URL, ceux-ci, ainsi que le caractère de barre oblique inverse lui-même, seront codés en barre oblique inverse.

Protocole

Protocoles réseau utilisés pour télécharger le fichier. L'un des protocoles HTTP/HTTPS, FTP ou SMB.

Téléchargé à partir de

Adresse IP de l’hôte contacté.

Si disponible, cliquez sur l'icône icône whois pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans Fenêtre contextuelle WHOIS.

Hôte HTTP

S'il est disponible, le nom de domaine de l'hôte contacté. Ce nom peut être dérivé d’autres données, notamment l’adresse IP.

Si disponible, cliquez sur l'icône icône whois pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans Fenêtre contextuelle WHOIS.

Agent utilisateur

Chaîne de l’agent utilisateur extraite de la demande HTTP/HTTPS.

Premier téléchargement

Pour les téléchargements uniques, l'horodatage de la première détection enregistrée du téléchargement du fichier.

Dernier téléchargement

Pour les téléchargements uniques, l'horodatage de la détection la plus récente du téléchargement du fichier.

Horodatage

Horodatage de la détection du téléchargement du fichier.

Taille du fichier

Taille du fichier en octets.

MD5

Hachage MD5 du fichier téléchargé.

SHA 1

Hachage SHA1 du fichier téléchargé.

État de l'envoi

Indique pourquoi le fichier téléchargé n'a pas été envoyé pour une analyse complète. Cela est généralement dû à un filtrage préalable ou à d'autres raisons. Passez votre souris sur l'icône icône Point d'interrogation pour afficher une fenêtre contextuelle contenant plus de détails.

UUID de l'analyste

Identifiant unique renvoyé par le service NSX Advanced Threat Prevention après le traitement du fichier téléchargé.

ID de l’événement

Lien vers l’événement associé pour le téléchargement du fichier. Cliquez sur l'ID ou sur icône Lien pour afficher l'événement. Pour plus d'informations, reportez-vous à la section Événements de détection.

Présentation de l’analyse

La section Présentation de l'analyse fournit un résumé des résultats de l'analyse d'un fichier téléchargé par le service NSX Advanced Threat Prevention.

Pour ouvrir le rapport d'analyse complet dans un nouvel onglet, cliquez sur icône Chaîne dans un cercle noir. Reportez-vous à la section Utilisation du rapport d’analyse.

Pour télécharger le fichier détecté sur votre machine locale, cliquez sur icône Téléchargement de fichier sur le côté droit de l'écran. Dans le menu déroulant, sélectionnez Télécharger le fichier ou Télécharger au format ZIP.

Si vous sélectionnez Télécharger au format ZIP, la fenêtre contextuelle Télécharger le fichier au format zip s'affiche, vous invitant à fournir un mot de passe facultatif pour l'archive. Cliquez sur Télécharger pour terminer le téléchargement du fichier .ZIP.

Important :

L'application NSX Network Detection and Response vous permet uniquement de télécharger des fichiers détectés sous certaines conditions.

Si l'artefact est considéré comme un risque faible, icône Téléchargement de fichier s'affiche et vous pouvez le télécharger sur votre machine locale.

Si l'artefact est considéré comme à risque, icône Téléchargement de fichier ne s'affiche pas, sauf si votre licence dispose de la capacité ALLOW_RISKY_ARTIFACT_DOWNLOADS.

Vous devez savoir que l'artefact peut potentiellement provoquer des dommages lors de son ouverture.

L'interface NSX Network Detection and Response peut afficher la fenêtre contextuelle Avertissement : téléchargement de fichier malveillant. Cliquez sur le bouton J'accepte pour accepter les conditions et télécharger le fichier.

Pour les artefacts malveillants, vous pouvez encapsuler le fichier dans une archive ZIP afin d'empêcher d'autres solutions qui surveillent votre trafic d'inspecter automatiquement la menace.

Si vous ne disposez pas de la capacité de ALLOW_RISKY_ARTIFACT_DOWNLOADS et que vous avez besoin de télécharger des artefacts malveillants, contactez le support VMware.

Cliquez sur l'icône icône Développer et icône Réduire pour développer et réduire les sections de l'onglet.

Cette section Présentation de l'analyse fournit un résumé des résultats de l'analyse d'un fichier ou d'une URL analysé par le service NSX Advanced Threat Prevention. La section affiche les données suivantes.
  • MD5 : hachage MD5 du fichier. Pour rechercher d'autres instances de cet artefact dans votre réseau, cliquez sur <search icon>.
  • SHA1 : hachage SHA1 du fichier.
  • SHA256 : hachage SHA256 du fichier.
  • Type MIME : étiquette utilisée pour identifier le type de données dans le fichier.
  • Envoi : horodatage de l'envoi

La section Niveau de menace commence par un résumé des résultats de l'analyse : le hachage md5 du fichier a été détecté comme malveillant/inoffensif.

Il affiche ensuite les données suivantes :
Évaluation des risques
Cette section affiche les résultats de l’évaluation des risques.
  • Score de malveillance : définit un score sur 100.
  • Estimation du risque : estimation du risque posé par cet artefact :
    • Élevé : cet artefact représente un risque critique et vous devez le traiter en priorité. Ces types d'objets sont généralement des fichiers ou des documents de type Cheval de Troie contenant des attaques, ce qui entraîne des compromissions majeures du système infecté. Les risques sont multiples : de la fuite d'informations au dysfonctionnement du système. Ces risques sont partiellement déduits du type d’activité détecté. Le seuil de score de cette catégorie est généralement supérieur à 70.
    • Moyen : cet artefact représente un risque à long terme et vous devez le surveiller étroitement. Il peut s'agir d'une page Web contenant du contenu suspect, ce qui peut potentiellement entraîner des tentatives furtives. Il peut également s'agir d'un logiciel de publicité ou d'un antivirus fictif qui ne constitue pas une menace immédiatement grave, mais qui peut entraîner des problèmes de fonctionnement du système. Le seuil de score de cette catégorie est généralement compris entre 30 et 70.
    • Faible : cet artefact est considéré comme inoffensif et vous pouvez l'ignorer. Le seuil de score de cette catégorie est généralement inférieur à 30.
  • Catégorie d'antivirus : catégorie d'antivirus ou de programme malveillant à laquelle appartient l'artefact. Par exemple, un cheval de Troie, un ver informatique, un logiciel de publicité, un ransomware, un logiciel espion, etc.

  • Famille d'antivirus : famille d'antivirus ou de programmes malveillants auquel appartient l'artefact. Par exemple, valyria, darkside, etc. Pour rechercher d’autres instances de cette famille, cliquez sur l’icône de recherche.

Présentation de l’analyse
Les informations affichées sont triées par gravité et incluent les propriétés suivantes :
  • Gravité : score compris entre 0 et 100 des activités malveillantes détectées lors de l'analyse de l'artefact. Les icônes supplémentaires indiquent les systèmes d’exploitation qui peuvent exécuter l’artefact.
  • Type : types d’activités détectés lors de l’analyse de l’artefact. Ces types incluent :
    • Démarrage automatique : possibilité de redémarrer après un arrêt de la machine.
    • Désactiver : possibilité de désactiver les composants critiques du système.
    • Évasion : possibilité de fuir l'environnement d'analyse.
    • Fichier : activité suspecte sur le système de fichiers.
    • Mémoire : activité suspecte dans la mémoire système.
    • Réseau : activité suspecte au niveau du réseau.
    • Réputation : source connue ou signée par une organisation digne de confiance.
    • Paramètres : possibilité de modifier de façon permanente les paramètres système critiques.
    • Signature : identification de sujet malveillant.
    • Voler : possibilité d'accéder à des informations sensibles et de les divulguer.
    • Furtivité : possibilité de rester inaperçu par les utilisateurs.
    • Ignoré : identification de sujet inoffensif.
  • Description : description correspondant à chaque type d’activité détectée lors de l’analyse de l’artefact.
  • Tactiques ATT&CK : étapes ATT&CK MITRE ou étapes d'une attaque. Plusieurs tactiques sont séparées par des virgules.
  • Techniques ATT&CK : actions ou outils observés qu'un acteur malveillant peut utiliser. Plusieurs techniques sont séparées par des virgules.
  • Liens : pour rechercher d'autres instances de cette activité, cliquez sur l'icône de recherche.
Artefacts supplémentaires
Cette section répertorie les artefacts supplémentaires (fichiers et URL) qui ont été observés lors de l'analyse de l'échantillon soumis et qui ont été à leur tour soumis pour une analyse approfondie. Cette section inclut les propriétés suivantes :
  • Description : décrit l'artefact supplémentaire.
  • SHA1 : hachage SHA1 de l'artefact supplémentaire.
  • Type de contenu : type MIME de l'artefact supplémentaire.
  • Score : score de malveillance de l'artefact supplémentaire. Pour afficher le rapport d'analyse associé, cliquez sur .
Arguments de ligne de commande décodés
Si des scripts PowerShell ont été exécutés pendant l'analyse, le système décode ces scripts, rendant ses arguments disponibles sous une forme plus lisible par l'utilisateur.
Outils tiers
Lien vers un rapport sur l'artefact sur le portail VirusTotal.