L'onglet Présentation de la page Rapport d'analyse de l'interface utilisateur de NSX Network Detection and Response fournit un résumé des résultats de l'analyse du fichier analysé par le service NSX Advanced Threat Prevention.

Pour télécharger le fichier détecté sur votre machine locale, cliquez sur icône Téléchargement de fichier sur le côté droit de l'écran. Dans le menu déroulant, sélectionnez Télécharger le fichier ou Télécharger au format ZIP.

Si vous sélectionnez Télécharger au format ZIP, la fenêtre contextuelle Télécharger le fichier au format zip s'affiche, vous invitant à fournir un mot de passe facultatif pour l'archive. Cliquez sur Télécharger pour terminer le téléchargement du fichier .ZIP.

Important :

L'application NSX Network Detection and Response vous permet uniquement de télécharger des fichiers détectés sous certaines conditions.

Si l'artefact est considéré comme un risque faible, icône Téléchargement de fichier s'affiche et vous pouvez le télécharger sur votre machine locale.

Si l'artefact est considéré comme à risque, icône Téléchargement de fichier ne s'affiche pas, sauf si votre licence dispose de la capacité ALLOW_RISKY_ARTIFACT_DOWNLOADS.

Vous devez savoir que l'artefact peut potentiellement provoquer des dommages lors de son ouverture.

L'interface NSX Network Detection and Response peut afficher la fenêtre contextuelle Avertissement : téléchargement de fichier malveillant. Cliquez sur le bouton J'accepte pour accepter les conditions et télécharger le fichier.

Pour les artefacts malveillants, vous pouvez encapsuler le fichier dans une archive ZIP afin d'empêcher d'autres solutions qui surveillent votre trafic d'inspecter automatiquement la menace.

Si vous ne disposez pas de la capacité de ALLOW_RISKY_ARTIFACT_DOWNLOADS et que vous avez besoin de télécharger des artefacts malveillants, contactez le support VMware.

Section Présentation de l'analyse

Note : Si le service NSX Advanced Threat Prevention a rencontré des erreurs lors de l'analyse du fichier, un bloc en surbrillance s'affiche. Il contient la liste des erreurs rencontrées.
Cette section Présentation de l'analyse fournit un résumé des résultats de l'analyse d'un fichier ou d'une URL analysé par le service NSX Advanced Threat Prevention. La section affiche les données suivantes.
  • MD5 : hachage MD5 du fichier. Pour rechercher d'autres instances de cet artefact dans votre réseau, cliquez sur <search icon>.
  • SHA1 : hachage SHA1 du fichier.
  • SHA256 : hachage SHA256 du fichier.
  • Type MIME : étiquette utilisée pour identifier le type de données dans le fichier.
  • Envoi : horodatage de l'envoi

Section de niveau de menace

La section Niveau de menace commence par un résumé des résultats de l'analyse : le hachage md5 du fichier a été détecté comme malveillant/inoffensif.

Il affiche ensuite les données suivantes :
Évaluation des risques
Cette section affiche les résultats de l'évaluation des risques.
  • Score de malveillance : définit un score sur 100.
  • Estimation du risque : estimation du risque posé par cet artefact :
    • Élevé : cet artefact représente un risque critique et vous devez le traiter en priorité. Ces types d'objets sont généralement des fichiers ou des documents de type Cheval de Troie contenant des attaques, ce qui entraîne des compromissions majeures du système infecté. Les risques sont multiples : de la fuite d'informations au dysfonctionnement du système. Ces risques sont partiellement déduits du type d'activité détecté. Le seuil de score de cette catégorie est généralement supérieur à 70.
    • Moyen : cet artefact représente un risque à long terme et vous devez le surveiller étroitement. Il peut s'agir d'une page Web contenant du contenu suspect, ce qui peut potentiellement entraîner des tentatives furtives. Il peut également s'agir d'un logiciel de publicité ou d'un antivirus fictif qui ne constitue pas une menace immédiatement grave, mais qui peut entraîner des problèmes de fonctionnement du système. Le seuil de score de cette catégorie est généralement compris entre 30 et 70.
    • Faible : cet artefact est considéré comme inoffensif et vous pouvez l'ignorer. Le seuil de score de cette catégorie est généralement inférieur à 30.

  • Catégorie d'antivirus : catégorie d'antivirus ou de programme malveillant à laquelle appartient l'artefact. Par exemple, un cheval de Troie, un ver informatique, un logiciel de publicité, un ransomware, un logiciel espion, etc.

  • Famille d'antivirus : famille d'antivirus ou de programmes malveillants auquel appartient l'artefact. Par exemple, valyria, darkside, etc. Pour rechercher d'autres instances de cette famille, cliquez sur l'icône de recherche.

Présentation de l'analyse
Les informations affichées sont triées par gravité et incluent les propriétés suivantes :
  • Gravité : score compris entre 0 et 100 des activités malveillantes détectées lors de l'analyse de l'artefact. Les icônes supplémentaires indiquent les systèmes d'exploitation qui peuvent exécuter l'artefact.
  • Type : types d'activités détectés lors de l'analyse de l'artefact. Ces types incluent :
    • Démarrage automatique : possibilité de redémarrer après un arrêt de la machine.
    • Désactiver : possibilité de désactiver les composants critiques du système.
    • Évasion : possibilité de fuir l'environnement d'analyse.
    • Fichier : activité suspecte sur le système de fichiers.
    • Mémoire : activité suspecte dans la mémoire système.
    • Réseau : activité suspecte au niveau du réseau.
    • Réputation : source connue ou signée par une organisation digne de confiance.
    • Paramètres : possibilité de modifier de façon permanente les paramètres système critiques.
    • Signature : identification de sujet malveillant.
    • Voler : possibilité d'accéder à des informations sensibles et de les divulguer.
    • Furtivité : possibilité de rester inaperçu par les utilisateurs.
    • Ignoré : identification de sujet inoffensif.
  • Description : description correspondant à chaque type d'activité détectée lors de l'analyse de l'artefact.
  • Tactiques ATT&CK : étapes ATT&CK MITRE ou étapes d'une attaque. Plusieurs tactiques sont séparées par des virgules.
  • Techniques ATT&CK : actions ou outils observés qu'un acteur malveillant peut utiliser. Plusieurs techniques sont séparées par des virgules.
  • Liens : pour rechercher d'autres instances de cette activité, cliquez sur l'icône de recherche.
Artefacts supplémentaires
Cette section répertorie les artefacts supplémentaires (fichiers et URL) qui ont été observés lors de l'analyse de l'échantillon soumis et qui ont été à leur tour soumis pour une analyse approfondie. Cette section inclut les propriétés suivantes :
  • Description : décrit l'artefact supplémentaire.
  • SHA1 : hachage SHA1 de l'artefact supplémentaire.
  • Type de contenu : type MIME de l'artefact supplémentaire.
  • Score : score de malveillance de l'artefact supplémentaire. Pour afficher le rapport d'analyse associé, cliquez sur icône du rapport d'analyse.
Arguments de ligne de commande décodés
Si des scripts PowerShell ont été exécutés pendant l'analyse, le système décode ces scripts, rendant ses arguments disponibles sous une forme plus lisible par l'utilisateur.
Outils tiers
Lien vers un rapport sur l'artefact sur le portail VirusTotal.