Vous pouvez accéder à la barre latérale Résumé de l'événement lorsque vous cliquez sur une ligne d'entrée dans le widget Événements de détection de la page NSX Network Detection and ResponseÉvénements.

La section suivante décrit ce que vous voyez sur cette barre latérale. Après la section supérieure, les sections suivantes affichent les données de prise en charge. Certaines sections s'affichent uniquement si des données pertinentes sont disponibles.

Section supérieure

Le haut de la barre latérale inclut les éléments suivants :

  • Pour fermer la barre latérale, cliquez sur l'icône icône Fermer.

  • Pour afficher l'événement sur la page Profil d'événement, cliquez sur Détails flèche vers la droite . Pour plus d'informations, reportez-vous à la section Page Profil d'événement.

  • Si disponible, une brève description de l’événement est fournie. Elle inclut une explication sur la raison pour laquelle le système a signalé cet événement, identifie la menace ou les logiciels malveillants associés à cet événement et décrit brièvement l'activité détectée.

Détails de la menace

Cette section inclut les informations suivantes.

Nom détaillé de la menace

Description

Menace

Nom du risque de sécurité détecté.

Classe de menace

Nom de la classe de risque de sécurité détectée.

Détecteur d’événements

Nom du détecteur d’événements. Cliquez sur le lien pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à Fenêtre contextuelle Documentation du détecteur pour plus de détails.

S'il n'y a pas de détecteur pour l'événement, cette section n'est pas affichée.

Impact

La valeur d’impact indique le niveau critique de la menace détectée et est comprise entre 1 et 100

  • Les menaces de 70 ou plus sont considérées comme critiques.

  • Les menaces comprises entre 30 et 69 sont considérées comme des risques moyens.

  • Les menaces comprises entre 1 et 29 sont considérées comme inoffensives.

Action

Liste des actions entreprises par le capteur (par exemple, toutes les activités bloquantes, si l'événement est consigné, si le trafic a été capturé ou si un téléchargement de logiciels malveillants a été extrait).

Résultat

Résultat de l’événement. Dans la plupart des cas, il s'agit de la détection.

Pour les événements Info et les événements qui ont été promus à partir de l'état Info, une étiquette supplémentaire fournit la raison de sa modification d'état/d'état. Une fenêtre contextuelle s'affiche lorsque vous passez le curseur sur l'étiquette, fournissant des détails supplémentaires sur la raison.

Première connexion Dernière connexion

Graphique indiquant l'horodatage de la première et de la dernière connexions de la preuve.

Les informations de durée s'affichent sous le graphique.

Trafic d’événements

Le widget Trafic d’événements fournit une vue d'ensemble du trafic observé entre les hôtes impliqués dans l'événement. Au moins un hôte impliqué dans l’événement est un hôte surveillé. L’hôte de communication peut être un hôte surveillé ou un système externe. Un lien permettant d'afficher le trafic capturé s'affiche, si les données sont disponibles.

La flèche indique le sens du trafic entre les hôtes.

Pour chaque hôte, l’adresse IP s’affiche. Si l'hôte est local, l'adresse est un lien sur lequel vous pouvez cliquer pour afficher la page Profil d'hôte. Un indicateur de géolocalisation, une icône icône Accueil ou icône Réseau peut s'afficher. Plusieurs peuvent s'afficher. S'il est disponible, un nom d'hôte s'affiche. Si elle est disponible depuis la surveillance du trafic DHCP, l'adresse MAC de l'hôte s'affiche. Toutes les balises d’hôte appliquées à l’hôte s’affichent. Si disponible, cliquez sur icône whois pour afficher les détails de l'hôte dans la fenêtre contextuelle WHOIS.

Preuve d'événement

La section Preuve d'événement répertorie diverses actions observées lors de l'analyse de l'événement. Pour plus d'informations, cliquez sur le lien Détails de l'événement pour afficher la preuve de l'événement.

Les actions incluent la signature, la réputation, le comportement inhabituel, le téléchargement de fichiers, la correspondance de chemin d'URL, la vérification, l'anomalie, etc. S'il est fourni, cliquez sur le lien pour afficher la fenêtre contextuelle Détecteur Une valeur Confiance s'affiche pour chaque action.

Identification des programmes malveillants

Si l'application Protection contre les programmes malveillants NSX est activée, un résumé du logiciel malveillant détecté s'affiche. Pour plus d'informations, cliquez sur le lien Rapport d'analyse pointe de flèche angle droit pour afficher le rapport d'analyse. Pour plus d'informations, reportez-vous à la section Utilisation du rapport d’analyse.

Nom du détail

Description

Classe d'antivirus

Étiquette définissant la classe d'antivirus du fichier téléchargé.

Famille d'antivirus

Étiquette définissant la famille d’antivirus du fichier téléchargé.

Programmes malveillants

Étiquette définissant le type de programme malveillant du fichier téléchargé. Si l'étiquette comporte une icône icône Balise, vous pouvez cliquer dessus pour obtenir une description contextuelle.

Présentation du comportement

Comportements détectés du fichier téléchargé. S'il existe un grand nombre de données, une liste partielle s'affiche par défaut. Cliquez sur Développer pour en savoir plus pointe de flèche vers le bas pour en afficher davantage. Fermez-le à nouveau en cliquant sur Réduire pour en afficher moins pointe de flèche vers le haut.

URL d'événements

La section URL d’événements affiche toutes les URL détectées dans l’événement. Cette section s’affiche uniquement si l’événement est associé à une URL

Métadonnées de l'événement

La section Métadonnées de l'événement affiche les données suivantes.

Nom des données

Description

Incident lié

Cliquez sur icône Lien pour afficher l'incident associé, le cas échéant.

Connexions

Nombre de connexions incluses dans l’événement.

Campagne connexe

Cliquez sur icône Lien pour afficher la campagne associée, le cas échéant.