Les menaces détectées par NSX Network Detection and Response sont représentées par des cartes de menaces dans l'onglet Menaces de la page Profil d'hôte.

Une carte de menace affiche le score de menace calculé, le nom et la classe de la menace, le résultat de détection (le cas échéant), l'état de la menace et d'autres actions. Le cas échéant, la campagne à laquelle cette menace est connectée s'affiche. Développez la carte pour voir sa preuve associée.

Utilisez le menu déroulant Trier par pour trier les cartes de menaces. Vous pouvez effectuer une sélection parmi Le plus récent, Le plus tôt, Impact le plus élevé (par défaut) et Impact le plus faible.

La zone de texte Rechercher des menaces fournit une recherche rapide. Elle filtre les lignes de la liste, affichant uniquement les lignes contenant du texte, dans n'importe quel champ, qui correspond à la chaîne de requête que vous avez fournie.

Basculez le bouton Afficher les menaces fermées pour filtrer les cartes de menaces affichées par état de menace. La valeur par défaut est d'afficher toutes les menaces.

Gestion des cartes de menaces

Les cartes Menaces affichent toutes les menaces associées à l'hôte sélectionné et leurs niveaux de menace correspondants. Chaque carte affiche l'impact calculé de la menace, le nom de la menace, la classe de la menace et, si disponible, le résultat de la détection. Elle indique également l'état de la menace : Ouvert ou Fermé.

Cliquez sur Étapes suivantes et sélectionnez une action dans le menu déroulant.

  • Sélectionnez Fermer pour fermer la menace. Sélectionnez Ouvrir pour rouvrir une menace fermée.

  • Sélectionnez Gérer les alertes pour créer une règle de gestion des alertes à partir de la menace.

La section Résumé de la preuve contient une vue d'ensemble de la preuve et d'autres données détectées pour la menace. Cliquez sur pointe de flèche droite ou ailleurs dans la fiche pour développer les détails de la preuve.

Si des données de campagnes connectées à cette menace sont disponibles, Campagne avec un lien vers barre latérale Résumé de la campagne s'affiche.

Détails de la preuve

La colonne Preuve affiche les téléchargements de fichiers, les signatures et d'autres catégories de type de preuve, ainsi qu'un horodatage de l'affichage de la preuve. Lorsque vous cliquez sur le lien Type de preuve, la barre latérale Résumé de la preuve de ce type s'affiche sur le côté droit de la page. La barre latérale Résumé de la preuve est disponible pour les types de preuve suivants.

  • Anomalie

  • Téléchargement de fichiers

  • Signature

La colonne Interactions réseau et IOC réseau affiche l'adresse IP ou le nom de domaine des hôtes externes. En cliquant sur le lien, vous développez la barre latérale Interaction réseau.

La colonne Prise en charge des données fournit un lien vers les événements de détection, ainsi qu'un lien vers les détails de la menace.

Résultats de la détection

Les résultats des événements de détection de menaces ont les valeurs possibles suivantes, répertoriées par ordre de gravité.

Résultat de la détection

Description

Réussite

Il a été vérifié que la menace a atteint son objectif. Il peut s'agir de sa tentative de vérification sur le serveur C&C terminée et des données ont été reçues du point de terminaison malveillant.

Échec

La menace n'a pas atteint son objectif. Cela peut être dû au fait que le serveur C&C est hors ligne, que l'attaquant a fait des erreurs de codage, et ainsi de suite.

Bloqué

La menace a été bloquée par l'application NSX Network Detection and Response ou par une application tierce.

Si le résultat de l’événement est inconnu, ce champ ne s’affiche pas.

Barre latérale Interaction réseau

Vous développez la barre latérale Interaction réseau en cliquant sur le lien adresse IP ou nom de domaine d'un hôte spécifique dans la colonne Interactions réseau et IOC réseau de l'onglet Menaces.

L’impact et l’adresse IP de l’hôte sélectionné s’affichent en haut de la barre latérale.

Résumé WHOIS

La section Résumé WHOIS affiche les champs clés de l'enregistrement WHOIS pour l'adresse IP ou le nom de domaine sélectionné. Cliquez sur l'icône icône whois pour accéder à la fenêtre contextuelle WHOIS pour plus de détails sur l'adresse IP ou le domaine. Pour plus d'informations, reportez-vous à la section Fenêtre contextuelle WHOIS.

Ouvrir dans

La section Ouvrir dans... contient des liens vers des fournisseurs tiers tels que DomainTools, VirusTotal, Google et autres. S'il y a plus de fournisseurs que d'espace dans la vue, vous pouvez cliquer sur Développer pour en voir plus pour les voir.

Barre latérale Résumé des preuves d'anomalie

La barre latérale Résumé de la preuve d'un type de preuve Anomalie s'affiche lorsque vous cliquez sur un lien Preuve d'anomalie dans la colonne Preuve de l'onglet Menaces.

Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.

Une brève description de la preuve est fournie.

Détails de la menace

Les détails suivants sur la menace sont fournis.
  • Menace : nom du risque de sécurité détecté.
  • Classe de menace : nom de la classe de risque de sécurité détectée.
  • Première connexion Dernière connexion : graphique indiquant l'horodatage de la première et de la dernière consultations de la preuve. La durée s'affiche sous le graphique.

Résumé du détecteur

Un résumé du détecteur s’affiche. Pour plus d'informations, cliquez sur le lien Plus de détails pour afficher la fenêtre contextuelle Détecteur. Pour plus d'informations, reportez-vous à la section Fenêtre contextuelle Documentation du détecteur.
  • Nom du détecteur : nom du détecteur.
  • Objectif : brève description de l'objectif du détecteur.
  • Catégorisation ATT&CK : le cas échéant, un lien vers la technique MITRE ATT&CK est fourni. Sinon, N/A s'affiche.

Détails de l’anomalie

Des détails sur l’anomalie sont fournis.
Détails Description
Description

Brève description de l'anomalie indiquant comment elle s'écarte du comportement de la ligne de base ou pourquoi elle doit être considérée comme suspecte.

Type d'état

Type d’anomalie. Par exemple, Déviant.

Anomalie

Élément anormal visible sur l’hôte. Par exemple, l’accès à un port inhabituel.

Éléments de ligne de base

Éléments généralement visibles sur cet hôte.

Profil créé à

Horodatage de la création de la ligne de base.

Profil mis à jour le

Horodatage de la détection de l'anomalie.

Diagramme déviant

Le diagramme illustre le chargement/téléchargement normal des données pour l'hôte à des fins de comparaison avec le transfert de données signalé comme anormal. Les données suivantes peuvent s'afficher, en fonction du détecteur

  • Taille de téléchargement qui a déclenché l'alerte d'anomalie.

  • Taille maximale de téléchargement avant le déclenchement de l'alerte d'anomalie.

  • Taille moyenne de téléchargement/chargement pour l'hôte.

Barre latérale Résumé de la preuve de téléchargement de fichier

La barre latérale Résumé de la preuve pour un type de preuve de téléchargement de fichiers s'affiche lorsque vous cliquez sur le lien Télécharger une preuve de téléchargement de fichier dans la colonne Preuve de l'onglet Menaces.

Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.

Une brève description de la preuve est fournie.

Détails du fichier

Les détails suivants sont fournis sur le fichier.
  • Type de fichier : type général du fichier téléchargé. Reportez-vous à la section Onglet Unique pour obtenir la liste des types de fichiers.
  • Confiance : indique la probabilité que le fichier téléchargé soit véritablement malveillant. Comme le système utilise des heuristiques avancés pour détecter des menaces inconnues, dans certains cas, la menace détectée peut avoir une valeur de confiance inférieure si le volume d'informations disponibles pour cette menace spécifique est limité.
  • SHA1 : hachage SHA1 du fichier.

Identification des programmes malveillants

Un résumé du logiciel malveillant détecté s’affiche. Pour plus d'informations, cliquez sur le lien Rapport d'analyse pointe de flèche vers la droite pour afficher le rapport d'analyse. Pour plus d'informations, reportez-vous à la section Utilisation du rapport d’analyse.
  • Classe d'antivirus : étiquette définissant la classe d'antivirus du fichier téléchargé.
  • Famille d'antivirus : étiquette définissant la famille d'antivirus du fichier téléchargé.
  • Programme malveillant : étiquette définissant le type de programme malveillant du fichier téléchargé. Si l'étiquette comporte l'icône icône balise, cliquez dessus pour voir la description dans une fenêtre contextuelle.
  • Présentation du comportement : comportements détectés du fichier téléchargé. S'il existe un grand nombre de données, une liste partielle s'affiche par défaut. Cliquez sur Développer pour en savoir plus icône pointe de flèche vers le bas pour en afficher davantage. Fermez-le à nouveau en cliquant sur Réduire pour en afficher moins icône pointe de flèche vers le haut .

Ouvrir dans ...

Pour ouvrir le fichier téléchargé dans un service spécifique, cliquez sur l’une des icônes des fournisseurs. Par défaut, cette option affiche une liste partielle de fournisseurs.

Télécharger les détails

Les détails du fichier téléchargé s’affichent. Pour plus d'informations, cliquez sur le lien Rapport d'analyse icône pointe de flèche vers la droite pour afficher le rapport d'analyse. Pour plus d'informations, reportez-vous à la section Utilisation du rapport d’analyse.
Infos Description
Nom du fichier Chemin d’accès de la ressource au fichier téléchargé.
URL

URL complète du fichier téléchargé.

Première connexion

Horodatage de la première connexion du fichier téléchargé. S'il existe plusieurs instances de ce fichier, il s'agit d'une plage d'horodatages.

Téléchargé à partir de

Adresse IP du serveur source.

Protocole

Protocole utilisé pour transférer le fichier téléchargé depuis le serveur source.

Agent utilisateur

S'il est disponible, la chaîne de l'agent utilisateur visible pour la demande de téléchargement.

Barre latérale Résumé des preuves de signature

La barre latérale Résumé des preuves d'un type de preuve de signature s'affiche lorsque vous cliquez sur le lien d'une preuve de signature dans la colonne Preuve de l'onglet Menaces.

Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.

Une brève description de la preuve est fournie.

Détails de la menace

Les détails suivants sont fournis sur la menace.

Détails

Description

Menace

Nom du risque de sécurité détecté.

Classe de menace

Nom de la classe de risque de sécurité détectée.

Activité

Si disponible, affiche l'activité actuelle détectée de la menace.

Confiance

Indique la probabilité que la menace détectée soit malveillante.

Pour les événements qui affichent des résultats d’analyse, par exemple, un téléchargement de fichier, un score s’affiche.

Première connexion

Dernière connexion

Graphique indiquant l'horodatage de la première et de la dernière connexions de la preuve.

La durée s'affiche sous le graphique.

Informations de trafic

Le widget Référence du trafic d'événements fournit une vue d'ensemble du trafic observé entre les hôtes impliqués dans l'événement référencé. Au moins un hôte impliqué dans l’événement est un hôte surveillé. L’hôte de communication peut être un hôte surveillé ou un système externe.

La flèche indique le sens du trafic entre les hôtes.

Pour chaque hôte, l’adresse IP s’affiche. Si l'hôte est local, l'adresse est un lien sur lequel vous pouvez cliquer pour afficher la page Profil d'hôte. Un indicateur de géolocalisation, une icône ou peut s'afficher. Plusieurs peuvent être affichés. S'il est disponible, un nom d'hôte s'affiche. Toutes les balises d’hôte appliquées à l’hôte s’affichent. Si disponible, cliquez sur l'icône pour afficher les détails de l'hôte dans la fenêtre contextuelle WHOIS. Reportez-vous à Fenêtre contextuelle WHOIS pour plus de détails.

Résumé du détecteur

Un résumé du détecteur s’affiche. Pour plus d'informations, cliquez sur le lien Plus de détails pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à Fenêtre contextuelle Documentation du détecteur pour plus de détails.

  • Nom du détecteur : nom du détecteur.

  • Objectif : brève description de l'objectif du détecteur.

  • Règle IDS : cliquez sur le lien Afficher la règle (le cas échéant) pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à la section Fenêtre contextuelle Documentation du détecteur pour plus de détails. Elle peut contenir une règle IDS.