Page Profil d'événement

La page Profil d'événement est accessible à partir du bouton Détails situé en haut de la barre latérale Résumé de l'événement.

Il existe un certain nombre de contrôles et de boutons en haut de la vue :

Cliquez sur Événements similaires pour afficher une liste déroulante de fonctionnalités similaires. Cliquez sur l'icône en regard de chacune pour sélectionner Destination, Port de destination, Adresse IP source, Protocole de transport, Classe de menace et Type de menace. Cliquez ensuite sur Afficher les événements pour afficher les événements sélectionnés dans un nouvel onglet.
Cliquez sur Gérer les alertes pour lancer la barre latérale Gérer les alertes. Utilisez cette fonctionnalité pour supprimer ou rétrograder des événements anodins, tels que les événements de test ou de blocage du système, ou pour appliquer des scores personnalisés à des événements spécifiques. Reportez-vous à Utilisation de la barre latérale Gérer les alertes pour plus de détails.
Cliquez sur l'icône pour réduire tous les champs ou sur l'icône pour développer tous les champs.

Présentation de l’événement

La section supérieure fournit un aperçu visuel de la menace ou des logiciels malveillants détectés par l'application NSX Network Detection and Response et affiche la classe de menace et le score d'impact de la menace.

Résumé de l’événement

La section Résumé de l'événement fournit une explication sur la raison pour laquelle l'application NSX Network Detection and Response a signalé cet événement, identifie la menace ou le logiciel malveillant associé à cet événement, décrit brièvement l'activité détectée et affiche les données de prise en charge.

Si elle est disponible dans le service de cloud NSX Advanced Threat Prevention, une explication détaillée de l'événement et de la raison pour laquelle il est considéré comme malveillant s'affiche en haut de la section Résumé de l’événement.

Bloc de serveur

Le bloc de serveur affiche les données suivantes.

Données	Description
Nom d'hôte	S'il est disponible, le nom de domaine complet du serveur.
Adresse IP	Adresse IP du serveur. Un indicateur de géolocalisation peut s'afficher. Si l'icône est présente, cliquez sur le lien pour afficher plus de détails sur la page Profil d'hôte. Si elle est disponible, cliquez sur l'icône pour afficher les balises de réputation du client. Si elle est disponible, cliquez sur l'icône pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans la fenêtre contextuelle WHOIS.
Adresse MAC	Si disponible, l'adresse MAC du serveur. Cette adresse est obtenue à partir de la surveillance du trafic DHCP et est l'un des points de données que le système utilise pour générer une entrée HostID unique qu'il mappe à un hôte spécifique du réseau, quelle que soit son adresse IP.

Données

Description

Nom d'hôte

S'il est disponible, le nom de domaine complet du serveur.

Adresse IP

Adresse IP du serveur. Un indicateur de géolocalisation peut s'afficher. Si l'icône est présente, cliquez sur le lien pour afficher plus de détails sur la page Profil d'hôte.

Si elle est disponible, cliquez sur l'icône pour afficher les balises de réputation du client.

Si elle est disponible, cliquez sur l'icône pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans la fenêtre contextuelle WHOIS.

Adresse MAC

Si disponible, l'adresse MAC du serveur. Cette adresse est obtenue à partir de la surveillance du trafic DHCP et est l'un des points de données que le système utilise pour générer une entrée HostID unique qu'il mappe à un hôte spécifique du réseau, quelle que soit son adresse IP.

Bloc de client

Le bloc de client affiche les données suivantes.

Données	Description
Nom d'hôte	S'il est disponible, le nom de domaine complet du client.
Adresse IP	Adresse IP du client. Un indicateur de géolocalisation peut s'afficher. Si disponible, cliquez sur l'adresse ou sur l'icône pour afficher la page Profil d'hôte. Si elle est disponible, cliquez sur l'icône pour afficher les balises de réputation du client. Si elle est disponible, cliquez sur l'icône pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans la fenêtre contextuelle WHOIS.
Adresse MAC	Si elle est disponible, l'adresse MAC du client. Cette adresse est obtenue à partir de la surveillance du trafic DHCP et est l'un des points de données que le système utilise pour générer une entrée HostID unique qu'il mappe à un hôte spécifique du réseau, quelle que soit son adresse IP.

Données

Description

Nom d'hôte

S'il est disponible, le nom de domaine complet du client.

Adresse IP

Adresse IP du client. Un indicateur de géolocalisation peut s'afficher. Si disponible, cliquez sur l'adresse ou sur l'icône pour afficher la page Profil d'hôte.

Si elle est disponible, cliquez sur l'icône pour afficher les balises de réputation du client.

Si elle est disponible, cliquez sur l'icône pour afficher les informations d'enregistrement et d'autres données sur l'hôte dans la fenêtre contextuelle WHOIS.

Adresse MAC

Si elle est disponible, l'adresse MAC du client. Cette adresse est obtenue à partir de la surveillance du trafic DHCP et est l'un des points de données que le système utilise pour générer une entrée HostID unique qu'il mappe à un hôte spécifique du réseau, quelle que soit son adresse IP.

Métadonnées de l'événement

La section Métadonnées de l'événement affiche les données suivantes.

Données	Description
Résultat de la vérification	Indique le résultat de l’événement. Voici les raisons possibles. Bloqué : la menace a été bloquée par l'application NSX Network Detection and Response ou par une application tierce. Échec : la menace n'a pas pu atteindre son objectif. Cela peut être dû au fait que le serveur C&C est hors ligne, que l'attaquant a fait des erreurs de codage, etc. Réussite : la menace a été vérifiée pour avoir atteint son objectif. Il peut s'agir de sa tentative de vérification sur le serveur C&C terminée et des données ont été reçues du point de terminaison malveillant. Si le résultat de l’événement est inconnu, ce champ ne s’affiche pas.
Nom du vérificateur	Nom du vérificateur d’événements. Cliquez sur le lien pour accéder à la fenêtre contextuelle Vérifier la documentation.
Message du vérificateur	Message du vérificateur qui fournit des informations supplémentaires sur le résultat, par exemple, quelle application tierce a bloqué la menace.
Capteur	Capteur qui a détecté l’événement.
Connexions	Nombre de connexions incluses dans l’événement.
Action	Liste des actions entreprises par le capteur (par exemple, toutes les activités bloquantes, si l'événement est consigné, si le trafic a été capturé ou si un téléchargement de logiciels malveillants a été extrait).
Utilisateurs connectés	Liste des utilisateurs détectés dans les enregistrements consignés.
Résultat	Résultat de l’événement. Dans la plupart des cas, le résultat est `DÉTECTION`. Pour les événements INFO et les événements qui ont été promus à partir de l'état INFO, une étiquette supplémentaire fournit la raison de sa modification d'état/d'état. Une fenêtre contextuelle s'affiche lorsque vous passez le curseur sur l'étiquette, fournissant des détails supplémentaires sur la raison.
Incident lié	Lien permanent vers un incident corrélé. En cliquant sur le lien , la page Profil d'incident s'ouvre dans un nouvel onglet du navigateur. Cet événement peut être l'un des événements étroitement liés qui ont été automatiquement corrélés en un incident.
ID de l'événement	Affichez l'événement sur la page Détails des événements réseau. Le lien s'ouvre dans un nouvel onglet du navigateur.
Heure de début	Horodatage du début de l’événement.
Heure de fin	Horodatage de la fin de l’événement.

Programmes malveillants capturés

La section Programmes malveillants capturés fournit des informations à partir de l'analyse dynamique qui a été effectuée sur l'instance de logiciel malveillant associée à l'événement.

Vous pouvez accéder à des informations techniques détaillées sur la fonction du programme malveillant, son fonctionnement et le type de risque qu'il présente. Pour plus d'informations sur les informations affichées, consultez la section Utilisation du rapport d’analyse.

Note :

Si aucun logiciel malveillant n'a été détecté pour l'événement, cette section ne s'affiche pas.

Preuve d'événement

La section Preuve d'événement fournit des détails sur les actions observées lors de l'analyse de l'événement.

Les actions peuvent inclure le téléchargement de fichiers malveillants, le trafic réseau correspondant à la signature réseau pour les menaces connues, l'exécution d'une résolution de nom de domaine d'un domaine de programmes malveillants bloqués, un chemin d'URL incorrect connu, etc.

S'il est disponible, cliquez sur le lien Détecteur pour afficher la fenêtre contextuelle Documentation du détecteur. Pour plus d'informations, reportez-vous également à la section À propos de la preuve.

Réputation de l’hôte

La section Réputation de l'hôte fournit des informations sur les hôtes malveillants connus ou les entrées de réputation d'URL observées dans l'événement.

Note :

Si l'hôte n'a pas d'historique connu, cette section ne s'affiche pas.

Données d’anomalie

Cette section affiche les enregistrements NetFlow ou DNS passifs qui ont déclenché l'événement d'anomalie.

Il sera intitulé Données d'anomalie DNS ou Données d'anomalie Netflow, en fonction de l'anomalie observée.

Des informations supplémentaires peuvent être fournies, telles que les adresses IP ou les ports qui ont été classés comme anormaux. Si un grand nombre d'éléments sont impliqués, vous pouvez cliquer sur # pour exposer tous les éléments.

Note :

Si aucune anomalie n’a été observée pour l’événement, cette section ne s’affiche pas.

Description de la menace

La section Description de la menace fournit une description détaillée de la menace associée à l’événement.

Atténuation

La section Atténuation fournit des instructions détaillées sur la suppression de tout logiciel malveillant et d'autres processus recommandés pour le nettoyage après l'événement.

Note :

S'il n'existe aucun processus d'atténuation connu pour l'événement, cette section ne s'affiche pas.