La vue Détails des fichiers téléchargés est développée dans la liste Téléchargement des fichiers.
Un sous-ensemble des détails disponibles suivants s'affiche, selon l'onglet que vous avez sélectionné sur la page Fichiers téléchargés.
Nom du détail |
Description |
|---|---|
Rapport d'analyse |
Cliquez sur le lien ou l'icône |
Type de fichier |
Type de haut niveau du fichier téléchargé. Reportez-vous à la section Fichiers téléchargés dans le temps pour obtenir la liste des types de fichiers. |
Détails du type de fichier |
Si disponible, plus de détails sur le type de fichier. Par exemple, |
Nom du fichier |
S'il est disponible, le nom du fichier. |
Téléchargé |
Pour des téléchargements uniques, nombre de fois que le fichier a été téléchargé par les hôtes du réseau. Cliquez sur le nombre ou sur l'icône |
Téléchargé par |
Adresse(s) IP du ou des hôtes du réseau ayant téléchargé le fichier. Si disponible, cliquez sur l'icône |
URL |
URL du téléchargement du fichier. Il s'agit d'une chaîne Unicode codée en UTF-8. |
URL |
URL brute du téléchargement du fichier. S'il existe des caractères non-ASCII dans l'URL, ceux-ci, ainsi que le caractère de barre oblique inverse lui-même, seront codés en barre oblique inverse. |
Protocole |
Protocoles réseau utilisés pour télécharger le fichier. L'un des protocoles HTTP/HTTPS, FTP ou SMB. |
Téléchargé à partir de |
Adresse IP de l'hôte contacté. Si disponible, cliquez sur l'icône |
Hôte HTTP |
S'il est disponible, le nom de domaine de l'hôte contacté. Ce nom peut être dérivé d'autres données, notamment l'adresse IP. Si disponible, cliquez sur l'icône |
Agent utilisateur |
Chaîne de l'agent utilisateur extraite de la demande HTTP/HTTPS. |
Premier téléchargement |
Pour les téléchargements uniques, l'horodatage de la première détection enregistrée du téléchargement du fichier. |
Dernier téléchargement |
Pour les téléchargements uniques, l'horodatage de la détection la plus récente du téléchargement du fichier. |
Horodatage |
Horodatage de la détection du téléchargement du fichier. |
Taille du fichier |
Taille du fichier en octets. |
MD5 |
Hachage MD5 du fichier téléchargé. |
SHA 1 |
Hachage SHA1 du fichier téléchargé. |
État de l'envoi |
Indique pourquoi le fichier téléchargé n'a pas été envoyé pour une analyse complète. Cela est généralement dû à un filtrage préalable ou à d'autres raisons. Passez votre souris sur l'icône |
UUID de l'analyste |
Identifiant unique renvoyé par le service NSX Advanced Threat Prevention après le traitement du fichier téléchargé. |
ID de l'événement |
Lien vers l'événement associé pour le téléchargement du fichier. Cliquez sur l'ID ou sur |
pour afficher le rapport d'analyse dans un nouvel onglet.
pour afficher les téléchargements de fichiers sur la page des téléchargements. Le lien transmet un filtre UUID d'analyste qui limite la vue aux téléchargements du fichier spécifique.
pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans 
pour afficher une fenêtre contextuelle contenant plus de détails.Présentation de l'analyse
La section Présentation de l'analyse fournit un résumé des résultats de l'analyse d'un fichier téléchargé par le service NSX Advanced Threat Prevention.
Pour ouvrir le rapport d'analyse complet dans un nouvel onglet, cliquez sur 
. Reportez-vous à la section Utilisation du rapport d’analyse.
Pour télécharger le fichier détecté sur votre machine locale, cliquez sur 
sur le côté droit de l'écran. Dans le menu déroulant, sélectionnez Télécharger le fichier ou Télécharger au format ZIP.
Si vous sélectionnez Télécharger au format ZIP, la fenêtre contextuelle Télécharger le fichier au format zip s'affiche, vous invitant à fournir un mot de passe facultatif pour l'archive. Cliquez sur Télécharger pour terminer le téléchargement du fichier .ZIP.
L'application NSX Network Detection and Response vous permet uniquement de télécharger des fichiers détectés sous certaines conditions.
Si l'artefact est considéré comme un risque faible, s'affiche et vous pouvez le télécharger sur votre machine locale.
Si l'artefact est considéré comme à risque, ne s'affiche pas, sauf si votre licence dispose de la capacité ALLOW_RISKY_ARTIFACT_DOWNLOADS.
Vous devez savoir que l'artefact peut potentiellement provoquer des dommages lors de son ouverture.
L'interface NSX Network Detection and Response peut afficher la fenêtre contextuelle Avertissement : téléchargement de fichier malveillant. Cliquez sur le bouton J'accepte pour accepter les conditions et télécharger le fichier.
Pour les artefacts malveillants, vous pouvez encapsuler le fichier dans une archive ZIP afin d'empêcher d'autres solutions qui surveillent votre trafic d'inspecter automatiquement la menace.
Si vous ne disposez pas de la capacité de ALLOW_RISKY_ARTIFACT_DOWNLOADS et que vous avez besoin de télécharger des artefacts malveillants, contactez le support VMware.
Cliquez sur 
et 
pour développer et réduire les sections de l'onglet.
- MD5 : hachage MD5 du fichier. Pour rechercher d'autres instances de cet artefact dans votre réseau, cliquez sur <search icon>.
- SHA1 : hachage SHA1 du fichier.
- SHA256 : hachage SHA256 du fichier.
- Type MIME : étiquette utilisée pour identifier le type de données dans le fichier.
- Envoi : horodatage de l'envoi
La section Niveau de menace commence par un résumé des résultats de l'analyse : le hachage md5 du fichier a été détecté comme malveillant/inoffensif.
- Évaluation des risques
-
Cette section affiche les résultats de l'évaluation des risques.
- Score de malveillance : définit un score sur 100.
- Estimation du risque : estimation du risque posé par cet artefact :
- Élevé : cet artefact représente un risque critique et vous devez le traiter en priorité. Ces types d'objets sont généralement des fichiers ou des documents de type Cheval de Troie contenant des attaques, ce qui entraîne des compromissions majeures du système infecté. Les risques sont multiples : de la fuite d'informations au dysfonctionnement du système. Ces risques sont partiellement déduits du type d'activité détecté. Le seuil de score de cette catégorie est généralement supérieur à 70.
- Moyen : cet artefact représente un risque à long terme et vous devez le surveiller étroitement. Il peut s'agir d'une page Web contenant du contenu suspect, ce qui peut potentiellement entraîner des tentatives furtives. Il peut également s'agir d'un logiciel de publicité ou d'un antivirus fictif qui ne constitue pas une menace immédiatement grave, mais qui peut entraîner des problèmes de fonctionnement du système. Le seuil de score de cette catégorie est généralement compris entre 30 et 70.
- Faible : cet artefact est considéré comme inoffensif et vous pouvez l'ignorer. Le seuil de score de cette catégorie est généralement inférieur à 30.
-
Catégorie d'antivirus : catégorie d'antivirus ou de programme malveillant à laquelle appartient l'artefact. Par exemple, un cheval de Troie, un ver informatique, un logiciel de publicité, un ransomware, un logiciel espion, etc.
-
Famille d'antivirus : famille d'antivirus ou de programmes malveillants auquel appartient l'artefact. Par exemple, valyria, darkside, etc. Pour rechercher d'autres instances de cette famille, cliquez sur l'icône de recherche.
- Présentation de l'analyse
-
Les informations affichées sont triées par gravité et incluent les propriétés suivantes :
- Gravité : score compris entre 0 et 100 des activités malveillantes détectées lors de l'analyse de l'artefact. Les icônes supplémentaires indiquent les systèmes d'exploitation qui peuvent exécuter l'artefact.
- Type : types d'activités détectés lors de l'analyse de l'artefact. Ces types incluent :
- Démarrage automatique : possibilité de redémarrer après un arrêt de la machine.
- Désactiver : possibilité de désactiver les composants critiques du système.
- Évasion : possibilité de fuir l'environnement d'analyse.
- Fichier : activité suspecte sur le système de fichiers.
- Mémoire : activité suspecte dans la mémoire système.
- Réseau : activité suspecte au niveau du réseau.
- Réputation : source connue ou signée par une organisation digne de confiance.
- Paramètres : possibilité de modifier de façon permanente les paramètres système critiques.
- Signature : identification de sujet malveillant.
- Voler : possibilité d'accéder à des informations sensibles et de les divulguer.
- Furtivité : possibilité de rester inaperçu par les utilisateurs.
- Ignoré : identification de sujet inoffensif.
- Description : description correspondant à chaque type d'activité détectée lors de l'analyse de l'artefact.
- Tactiques ATT&CK : étapes ATT&CK MITRE ou étapes d'une attaque. Plusieurs tactiques sont séparées par des virgules.
- Techniques ATT&CK : actions ou outils observés qu'un acteur malveillant peut utiliser. Plusieurs techniques sont séparées par des virgules.
- Liens : pour rechercher d'autres instances de cette activité, cliquez sur l'icône de recherche.
- Artefacts supplémentaires
-
Cette section répertorie les artefacts supplémentaires (fichiers et URL) qui ont été observés lors de l'analyse de l'échantillon soumis et qui ont été à leur tour soumis pour une analyse approfondie. Cette section inclut les propriétés suivantes :
- Description : décrit l'artefact supplémentaire.
- SHA1 : hachage SHA1 de l'artefact supplémentaire.
- Type de contenu : type MIME de l'artefact supplémentaire.
- Score : score de malveillance de l'artefact supplémentaire. Pour afficher le rapport d'analyse associé, cliquez sur .
- Arguments de ligne de commande décodés
- Si des scripts PowerShell ont été exécutés pendant l'analyse, le système décode ces scripts, rendant ses arguments disponibles sous une forme plus lisible par l'utilisateur.
- Outils tiers
- Lien vers un rapport sur l'artefact sur le portail VirusTotal.
