Le widget Événements de détection fournit une vue d'ensemble des événements individuels détectés par l'application NSX Network Detection and Response.

Un événement représente une activité pertinente pour la sécurité qui s'est produite dans le réseau surveillé. Un événement peut impliquer plusieurs flux de données (par exemple, des connexions TCP), mais il représente un type unique d'activité qui se produit sur une courte période (au maximum une heure).

Si l'intervalle de temps sélectionné inclut aujourd'hui (par défaut), le widget met à jour sa liste d'événements toutes les 5 minutes. Les nouveaux événements sont mis en surbrillance en vert ; la couleur disparaît après quelques secondes.

Le champ Recherche rapide au-dessus de la liste fournit une recherche rapide. Elle filtre les lignes de la liste, affichant uniquement les lignes qui ont du texte, dans n'importe quel champ, qui correspond à la chaîne de requête.

Actualisez manuellement la liste des événements en cliquant sur le bouton Mettre à jour maintenant.

Personnalisez le nombre de lignes à afficher. Par défaut, 30 entrées sont affichées. Jusqu'à 1 000 événements peuvent être affichés. Cependant, il peut y avoir un délai notable pour que le système récupère un grand nombre d'événements. Utilisez les icônes pointe de flèche angle gauche et pointe de flèche angle droit pour parcourir plusieurs pages.

Chaque ligne affiche un résumé d'un événement. Cliquez n'importe où sur une ligne d'entrée pour accéder à la barre latérale Résumé de l'événement.

La liste des événements contient les colonnes suivantes.

Nom de la colonne

Description

Horodatage

Indique l'heure de début de l'événement. L'heure est indiquée dans le fuseau horaire actuellement sélectionné.

La liste est triée par horodatage, par défaut dans l'ordre décroissant (dernier événement en haut). Vous pouvez utiliser les icônes pour trier la liste dans l'ordre croissant (événement le plus ancien en haut) ou revenir à la valeur par défaut.

Cliquez sur l'icône icône Trier la liste pour trier la liste par horodatage.

Hôte

Hôte du réseau surveillé impliqué dans cet événement. Cette colonne affiche l'adresse IP, le nom d'hôte ou l'étiquette de l'hôte, en fonction de vos paramètres d'affichage actuels. Cliquez sur l'icône Modifier en regard de l'hôte pour ouvrir la fenêtre contextuelle Hôte Étiquette/Silence.

Autre adresse IP

Adresse IP et port de l'hôte associés à cet événement. Par exemple, 203.0.113.115:80 indique que l'adresse IP 203.0.113.115 a été contactée sur le port 80.

Le système tente de localiser l'adresse IP. Si l'opération réussit, une petite icône d'indicateur indique le pays qui héberge éventuellement cette adresse IP. Une icône Réseau local est utilisée pour les hôtes locaux.

Autre hôte

Nom d'hôte ou adresse IP de l'entrée malveillante/suspecte.

Menace

Nom de la menace ou du risque de sécurité détecté.

Classe de menace

Nom de la classe de menace détectée.

Impact

La valeur d'impact indique le niveau critique de la menace détectée et est comprise entre 1 et 100 :

  • Les menaces de 70 ou plus sont considérées comme critiques.

  • Les menaces comprises entre 30 et 69 sont considérées comme des risques moyens.

  • Les menaces comprises entre 1 et 29 sont considérées comme inoffensives.

Si l'icône icône stop s'affiche, elle indique que l'artefact a été bloqué.

Cliquez sur l'icône icône Trier la liste pour trier la liste par impact.