Les menaces détectées par NSX Network Detection and Response sont représentées par des cartes de menaces dans l'onglet Menaces de la page Profil d'hôte.
Une carte de menace affiche le score de menace calculé, le nom et la classe de la menace, le résultat de détection (le cas échéant), l'état de la menace et d'autres actions. Le cas échéant, la campagne à laquelle cette menace est connectée s'affiche. Développez la carte pour voir sa preuve associée.
Utilisez le menu déroulant Trier par pour trier les cartes de menaces. Vous pouvez effectuer une sélection parmi Le plus récent, Le plus tôt, Impact le plus élevé (par défaut) et Impact le plus faible.
La zone de texte Rechercher des menaces fournit une recherche rapide. Elle filtre les lignes de la liste, affichant uniquement les lignes contenant du texte, dans n'importe quel champ, qui correspond à la chaîne de requête que vous avez fournie.
Basculez le bouton Afficher les menaces fermées pour filtrer les cartes de menaces affichées par état de menace. La valeur par défaut est d'afficher toutes les menaces.
Gestion des cartes de menaces
Les cartes Menaces affichent toutes les menaces associées à l'hôte sélectionné et leurs niveaux de menace correspondants. Chaque carte affiche l'impact calculé de la menace, le nom de la menace, la classe de la menace et, si disponible, le résultat de la détection. Elle indique également l'état de la menace : Ouvert ou Fermé.
Cliquez sur Étapes suivantes et sélectionnez une action dans le menu déroulant.
Sélectionnez Fermer pour fermer la menace. Sélectionnez Ouvrir pour rouvrir une menace fermée.
Sélectionnez Gérer les alertes pour créer une règle de gestion des alertes à partir de la menace.
La section Résumé de la preuve contient une vue d'ensemble de la preuve et d'autres données détectées pour la menace. Cliquez sur 
ou ailleurs dans la fiche pour développer les détails de la preuve.
Si des données de campagnes connectées à cette menace sont disponibles, Campagne avec un lien vers barre latérale Résumé de la campagne s'affiche.
Détails de la preuve
La colonne Preuve affiche les téléchargements de fichiers, les signatures et d'autres catégories de type de preuve, ainsi qu'un horodatage de l'affichage de la preuve. Lorsque vous cliquez sur le lien Type de preuve, la barre latérale Résumé de la preuve de ce type s'affiche sur le côté droit de la page. La barre latérale Résumé de la preuve est disponible pour les types de preuve suivants.
Anomalie
Téléchargement de fichiers
Signature
La colonne Interactions réseau et IOC réseau affiche l'adresse IP ou le nom de domaine des hôtes externes. En cliquant sur le lien, vous développez la barre latérale Interaction réseau.
La colonne Prise en charge des données fournit un lien vers les événements de détection, ainsi qu'un lien vers les détails de la menace.
Résultats de la détection
Les résultats des événements de détection de menaces ont les valeurs possibles suivantes, répertoriées par ordre de gravité.
Résultat de la détection |
Description |
|---|---|
Réussite |
Il a été vérifié que la menace a atteint son objectif. Il peut s'agir de sa tentative de vérification sur le serveur C&C terminée et des données ont été reçues du point de terminaison malveillant. |
Échec |
La menace n'a pas atteint son objectif. Cela peut être dû au fait que le serveur C&C est hors ligne, que l'attaquant a fait des erreurs de codage, et ainsi de suite. |
Bloqué |
La menace a été bloquée par l'application NSX Network Detection and Response ou par une application tierce. |
Si le résultat de l’événement est inconnu, ce champ ne s’affiche pas.
Barre latérale Interaction réseau
Vous développez la barre latérale Interaction réseau en cliquant sur le lien adresse IP ou nom de domaine d'un hôte spécifique dans la colonne Interactions réseau et IOC réseau de l'onglet Menaces.
L'impact et l'adresse IP de l'hôte sélectionné s'affichent en haut de la barre latérale.
Résumé WHOIS
La section Résumé WHOIS affiche les champs clés de l'enregistrement WHOIS pour l'adresse IP ou le nom de domaine sélectionné. Cliquez sur l'icône 
pour accéder à la fenêtre contextuelle WHOIS pour plus de détails sur l'adresse IP ou le domaine. Pour plus d'informations, reportez-vous à la section Fenêtre contextuelle WHOIS.
Ouvrir dans
La section Ouvrir dans... contient des liens vers des fournisseurs tiers tels que DomainTools, VirusTotal, Google et autres. S'il y a plus de fournisseurs que d'espace dans la vue, vous pouvez cliquer sur Développer pour en voir plus 
pour les voir.
Barre latérale Résumé des preuves d'anomalie
La barre latérale Résumé de la preuve d'un type de preuve Anomalie s'affiche lorsque vous cliquez sur un lien Preuve d'anomalie dans la colonne Preuve de l'onglet Menaces.
Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.
Une brève description de la preuve est fournie.
Détails de la menace
- Menace : nom du risque de sécurité détecté.
- Classe de menace : nom de la classe de risque de sécurité détectée.
- Première connexion
Dernière connexion : graphique indiquant l'horodatage de la première et de la dernière consultations de la preuve. La durée s'affiche sous le graphique.
Résumé du détecteur
pour afficher la fenêtre
contextuelle Détecteur. Pour plus d'informations, reportez-vous à la section
Fenêtre contextuelle Documentation du détecteur.
- Nom du détecteur : nom du détecteur.
- Objectif : brève description de l'objectif du détecteur.
- Catégorisation ATT&CK : le cas échéant, un lien vers la technique MITRE ATT&CK est fourni. Sinon, N/A s'affiche.
Détails de l'anomalie
| Détails | Description |
|---|---|
| Description | Brève description de l'anomalie indiquant comment elle s'écarte du comportement de la ligne de base ou pourquoi elle doit être considérée comme suspecte. |
| Type d'état | Type d'anomalie. Par exemple, Déviant. |
| Anomalie | Élément anormal visible sur l'hôte. Par exemple, l'accès à un port inhabituel. |
| Éléments de ligne de base | Éléments généralement visibles sur cet hôte. |
| Profil créé à | Horodatage de la création de la ligne de base. |
| Profil mis à jour le | Horodatage de la détection de l'anomalie. |
| Diagramme déviant | Le diagramme illustre le chargement/téléchargement normal des données pour l'hôte à des fins de comparaison avec le transfert de données signalé comme anormal. Les données suivantes peuvent s'afficher, en fonction du détecteur
|
Barre latérale Résumé de la preuve de téléchargement de fichier
La barre latérale Résumé de la preuve pour un type de preuve de téléchargement de fichiers s'affiche lorsque vous cliquez sur le lien Télécharger une preuve de téléchargement de fichier dans la colonne Preuve de l'onglet Menaces.
Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.
Une brève description de la preuve est fournie.
Détails du fichier
- Type de fichier : type général du fichier téléchargé. Reportez-vous à la section Onglet Unique pour obtenir la liste des types de fichiers.
- Confiance : indique la probabilité que le fichier téléchargé soit véritablement malveillant. Comme le système utilise des heuristiques avancés pour détecter des menaces inconnues, dans certains cas, la menace détectée peut avoir une valeur de confiance inférieure si le volume d'informations disponibles pour cette menace spécifique est limité.
- SHA1 : hachage SHA1 du fichier.
Identification des programmes malveillants
pour afficher le rapport d'analyse. Pour plus d'informations, reportez-vous à la section
Utilisation du rapport d’analyse.
- Classe d'antivirus : étiquette définissant la classe d'antivirus du fichier téléchargé.
- Famille d'antivirus : étiquette définissant la famille d'antivirus du fichier téléchargé.
- Programme malveillant : étiquette définissant le type de programme malveillant du fichier téléchargé. Si l'étiquette comporte l'icône
, cliquez dessus pour voir la description dans une fenêtre contextuelle. - Présentation du comportement : comportements détectés du fichier téléchargé. S'il existe un grand nombre de données, une liste partielle s'affiche par défaut. Cliquez sur Développer pour en savoir plus
pour en afficher davantage. Fermez-le à nouveau en cliquant sur Réduire pour en afficher moins 
.
Ouvrir dans ...
Pour ouvrir le fichier téléchargé dans un service spécifique, cliquez sur l'une des icônes des fournisseurs. Par défaut, cette option affiche une liste partielle de fournisseurs.
Télécharger les détails
pour afficher le rapport d'analyse. Pour plus d'informations, reportez-vous à la section
Utilisation du rapport d’analyse.
| Infos | Description |
|---|---|
| Nom du fichier | Chemin d'accès de la ressource au fichier téléchargé. |
| URL | URL complète du fichier téléchargé. |
| Première connexion | Horodatage de la première connexion du fichier téléchargé. S'il existe plusieurs instances de ce fichier, il s'agit d'une plage d'horodatages. |
| Téléchargé à partir de | Adresse IP du serveur source. |
| Protocole | Protocole utilisé pour transférer le fichier téléchargé depuis le serveur source. |
| Agent utilisateur | S'il est disponible, la chaîne de l'agent utilisateur visible pour la demande de téléchargement. |
Barre latérale Résumé des preuves de signature
La barre latérale Résumé des preuves d'un type de preuve de signature s'affiche lorsque vous cliquez sur le lien d'une preuve de signature dans la colonne Preuve de l'onglet Menaces.
Cliquez sur Événement de référence pour accéder à la page Profil d'événements et aux détails complets de l'événement associé.
Une brève description de la preuve est fournie.
Détails de la menace
Les détails suivants sont fournis sur la menace.
Détails |
Description |
|---|---|
Menace |
Nom du risque de sécurité détecté. |
Classe de menace |
Nom de la classe de risque de sécurité détectée. |
Activité |
Si disponible, affiche l'activité actuelle détectée de la menace. |
Confiance |
Indique la probabilité que la menace détectée soit malveillante. Pour les événements qui affichent des résultats d'analyse, par exemple, un téléchargement de fichier, un score s'affiche. |
Première connexion Dernière connexion |
Graphique indiquant l'horodatage de la première et de la dernière connexions de la preuve. La durée s'affiche sous le graphique. |
Informations de trafic
Le widget Référence du trafic d'événements fournit une vue d'ensemble du trafic observé entre les hôtes impliqués dans l'événement référencé. Au moins un hôte impliqué dans l'événement est un hôte surveillé. L'hôte de communication peut être un hôte surveillé ou un système externe.
La flèche indique le sens du trafic entre les hôtes.
Pour chaque hôte, l'adresse IP s'affiche. Si l'hôte est local, l'adresse est un lien sur lequel vous pouvez cliquer pour afficher la page Profil d'hôte. Un indicateur de géolocalisation, 
ou 
peut s'afficher. Plusieurs peuvent être affichés. S'il est disponible, un nom d'hôte s'affiche. Toutes les balises d'hôte appliquées à l'hôte s'affichent. Si disponible, cliquez sur l'icône 
pour afficher les détails de l'hôte dans la fenêtre contextuelle WHOIS. Reportez-vous à Fenêtre contextuelle WHOIS pour plus de détails.
Résumé du détecteur
Un résumé du détecteur s'affiche. Pour plus d'informations, cliquez sur le lien Plus de détails pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à Fenêtre contextuelle Documentation du détecteur pour plus de détails.
Nom du détecteur : nom du détecteur.
Objectif : brève description de l'objectif du détecteur.
Règle IDS : cliquez sur le lien Afficher la règle (le cas échéant) pour afficher la fenêtre contextuelle Détecteur. Reportez-vous à la section Fenêtre contextuelle Documentation du détecteur pour plus de détails. Elle peut contenir une règle IDS.
