Utilisez le tableau de bord Protection contre les programmes malveillants pour accéder aux détails des événements des fichiers extraits dans le centre de données à des fins de surveillance et d'analyse plus approfondies.
Le tableau de bord peut afficher les événements de fichiers au cours des 14 derniers jours. Pour plus d'informations sur le nombre maximal d'événements de fichier pris en charge sur le pare-feu distribué et le pare-feu de passerelle, reportez-vous à l'outil VMware Configuration Maximums sur https://configmax.vmware.com/home.
- Page Programmes malveillants potentiels
-
Affiche les détails des événements agrégés des fichiers malveillants, des fichiers suspects et des fichiers (sur liste autorisée) non inspectés qui sont extraits dans le centre de données pendant une période spécifique.
Une bulle dans le graphique à bulles représente un fichier unique extrait dans le centre de données. Un fichier est identifié de manière unique par son hachage. La couleur et le graphique dans la bulle indiquent si le fichier est malveillant, suspect ou non inspecté (sur liste autorisée).
Une ligne dans le tableau représente un fichier. Le chiffe sur la bulle indique le score de menace calculé pour le fichier. Le score est compris entre 0 et 100 et indique le degré de risque ou l'intention malveillante associés au fichier. Un score de menace élevé indique un risque plus élevé, et inversement. Par exemple :- La plage de scores pour les fichiers inoffensifs est comprise entre 0 et 29.
- La plage de scores pour les fichiers suspects est comprise entre 30 et 69.
- La plage de scores pour les fichiers malveillants est comprise entre 70 et 100.
- Le score des fichiers non inspectés est de -1.
Si le verdict du fichier est malveillant ou suspect, la famille de programmes malveillants et la catégorie de programmes malveillants de ce fichier s'affichent. Un seul fichier peut appartenir à plusieurs familles de programmes malveillants et catégories de programmes malveillants. Cependant, si la famille de programmes malveillants et la catégorie de programmes malveillants d'un fichier sont inconnues de NSX-T, les informations ne s'affichent pas dans l'interface utilisateur.
Note : Pour chaque fichier, les détails de l'événement (détails de l'inspection) sont agrégés et affichés sur le tableau de bord. Par exemple, si un seul fichier est inspecté cinq fois dans le centre de données, cinq événements de fichiers sont générés. En d'autres termes, le nombre d'inspections pour le fichier est de cinq. Toutefois, le graphique à bulles affiche une seule bulle pour le fichier. Le tableau contient alors une ligne unique pour ce fichier. Lorsque vous pointez sur une bulle, un résumé des inspections effectuées pour le fichier s'affiche. De même, lorsque vous développez la ligne d'un fichier dans le tableau, les détails de l'inspection la plus récente des fichiers s'affichent. Néanmoins, l'historique de toutes les inspections précédentes du fichier est conservé et consultable.Le tableau suivant décrit la signification des icônes utilisées sur le graphique à bulles.Icône Signification
Une petite bulle sur la chronologie représente une inspection unique d'un fichier.
Une grande bulle sur la chronologie représente plusieurs inspections pour un seul fichier.
Exemple : supposons qu'un fichier .exe soit extrait sur cinq VM invitées pendant trois jours et que NSX a identifié ce fichier comme étant suspect. Dans ce cas, cinq inspections de fichiers uniques se sont produites pour le fichier .exe dans le centre de données. Une grande bulle s'affiche sur la chronologie du fichier suspect lors de l'horodatage de la dernière inspection. Vous pouvez cliquer sur la bulle pour afficher l'historique des cinq inspections pour ce fichier .exe.
Un groupe de bulles sur la chronologie représente plusieurs inspections de fichiers uniques avec le même verdict.
Exemple : supposons que quatre fichiers uniques .docx A, B, C et D soient extraits simultanément (ou presque) du trafic nord-sud dans le centre de données et que NSX a identifié tous ces fichiers comme étant malveillants. Les bulles des quatre fichiers sont regroupées et affichées sur la chronologie des fichiers malveillants du graphique à bulles.
- Page Tous les fichiers
- Affiche une vue tabulaire de tous les fichiers uniques extraits dans le centre de données, y compris les fichiers inoffensifs. En d'autres termes, cette page affiche tous les fichiers uniques, quel que soit le verdict du fichier. Développez une ligne dans le tableau pour afficher les détails de la dernière inspection du fichier.
Conditions préalables
- La fonctionnalité Protection contre les programmes malveillants NSX est correctement activée dans NSX Application Platform.
- La fonctionnalité Protection contre les programmes malveillants NSX est activée sur les clusters d'hôtes ESXi ou les passerelles de niveau 1, ou les deux, en fonction de vos exigences de sécurité.