NSX Network Detection and Response fournit un mécanisme de filtrage qui vous permet de vous concentrer sur des informations d'incident spécifiques qui vous intéressent. L’utilisation de filtres est facultative.

Procédure

  1. Sur la page Incidents, cliquez sur icône Développer pour développer le widget Filtres.
  2. Cliquez n'importe où dans la zone de texte Filtrer sur et sélectionnez un élément dans le menu déroulant.
    Vous pouvez sélectionner parmi les filtres disponibles suivants. Pour affiner le focus des informations affichées, vous pouvez combiner plusieurs filtres.
    Nom du filtre Description
    UUID de campagne

    Limitez les entrées affichées par l'UUID de campagne. Il s'agit d'une chaîne hexadécimale de 32 caractères, par exemple, 7dabc0fc9b3f478a850e1089a923df3a.

    Vous pouvez également entrer la chaîne null pour sélectionner les enregistrements qui n'appartiennent à aucune campagne.

    Réseau local

    Limitez les entrées affichées par le paramètre Réseau local. Sélectionnez Réseau local uniquement ou Réseaux non identifiés uniquement dans le menu déroulant.

    Adresse IP de l'hôte

    Limitez les entrées affichées à une adresse IP source, une plage d’adresses IP ou un bloc CIDR spécifique. Entrez la valeur dans la zone de texte.

    Nom des hôtes

    Limitez les entrées affichées par le nom d’hôte. Le nom d'hôte complet ou l'étiquette doit être fourni.

    Priorité

    Limitez les entrées affichées par état de priorité. Sélectionnez Infections, Liste de surveillance ou Nuisances dans le menu déroulant.

    Lire

    Limitez les entrées affichées en fonction de leur état de lecture. Sélectionnez Lu ou Non lu dans le menu déroulant.

    État

    Limitez les entrées affichées en fonction de leur état. Sélectionnez Fermé ou Ouvert dans le menu déroulant.

    Menace

    Limitez les entrées affichées en fonction d’une menace spécifique. Sélectionnez une menace dans le menu déroulant. Le menu est prérempli avec une liste de menaces cataloguées.

    Utilisez la fonction de recherche en haut du menu pour trouver rapidement un nom de menace.

    Classe de menace

    Limitez les entrées affichées à une classe spécifique de menaces. Sélectionnez la classe de menace dans le menu déroulant. Le menu est prérempli avec un catalogue de cours, dont certains sont répertoriés ci-dessous. Utilisez la fonction de recherche en haut du menu pour trouver rapidement un nom de cours.

    • logiciel de publicité : programme malveillant qui affiche ou télécharge des annonces sur un ordinateur infecté.
    • fraude au clic  : les cibles de fraude au clic paient par clic la publicité en ligne.
    • Commande et contrôle : une machine infectée appartient à un botnet et la machine peut être contrôlée à distance par un pirate.
    • furtif : un pirate a tenté d'exploiter une vulnérabilité sur la machine afin d'installer des logiciels malveillants supplémentaires sur le système cible.
    • boîte à outils d'exploitation : détection d'une boîte à outils d'exploitation qui a tenté une attaque par téléchargement furtif
    • faux antivirus : logiciel antivirus factice ou d'autres types de logiciels de sécurité non autorisés conçus pour s'en prendre à vos utilisateurs.

    • C&C inactif : le serveur de commande et de contrôle de ce botnet spécifique est inactif.
    • Test de blocage VMware : le domaine block.lastline.com est utilisé pour tester le blocage des connexions réseau et les événements sélectionnés appartiennent à cette classe.
    • Test VMware : le domaine test.lastline.com est utilisé pour tester la fonctionnalité de la configuration et les événements sélectionnés appartiennent à cette classe.
    • Téléchargement de fichiers malveillants, distribution de programmes malveillants et téléchargement de logiciels malveillants : l'adresse IP ou le domaine héberge des exécutables malveillants.
    • sinkhole : un état de réception est exploité par une organisation légitime, de sorte qu'il ne constitue pas une menace. Cependant, les hôtes qui tentent de contacter ce type d'hôte peuvent être infectés.
    • logiciel espion : programme malveillant qui tente de voler des informations sensibles.
    • dns suspect : les domaines DNS suspects sont des domaines qui sont contactés par des programmes malveillants s'exécutant sur des machines infectées. Nos techniques propriétaires ont pu identifier de manière proactive ces domaines comme malveillants.
    • inconnu : un risque de sécurité inconnu a été détecté.
  3. Pour appliquer les filtres sélectionnés, cliquez sur Appliquer.
  4. (Facultatif) Pour supprimer un filtre individuel, cliquez sur le bouton Supprimer- en regard de son entrée. Pour supprimer tous les filtres sélectionnés, cliquez sur l'icône icône Fermer située sur le côté droit du widget Filtre.
    Le widget Filtres se réduit lorsque vous supprimez tous les filtres sélectionnés.