Utilisez le tableau de bord Protection contre les programmes malveillants pour accéder aux détails des événements des fichiers extraits dans le centre de données à des fins de surveillance et d'analyse plus approfondies.

Le tableau de bord peut afficher les événements de fichiers au cours des 14 derniers jours. Pour plus d'informations sur le nombre maximal d'événements de fichier pris en charge sur le pare-feu distribué et le pare-feu de passerelle, reportez-vous à l'outil VMware Configuration Maximums sur https://configmax.vmware.com/home.

Les informations sur les événements de fichiers (inspections de fichiers) s'affichent dans deux onglets.
Page Programmes malveillants potentiels

Affiche les détails des événements agrégés des fichiers malveillants, des fichiers suspects et des fichiers (sur liste autorisée) non inspectés qui sont extraits dans le centre de données pendant une période spécifique.

Une bulle dans le graphique à bulles représente un fichier unique extrait dans le centre de données. Un fichier est identifié de manière unique par son hachage. La couleur et le graphique dans la bulle indiquent si le fichier est malveillant, suspect ou non inspecté (sur liste autorisée).

Une ligne dans le tableau représente un fichier. Le chiffe sur la bulle indique le score de menace calculé pour le fichier. Le score est compris entre 0 et 100 et indique le degré de risque ou l'intention malveillante associés au fichier. Un score de menace élevé indique un risque plus élevé, et inversement. Par exemple :
  • La plage de scores pour les fichiers inoffensifs est comprise entre 0 et 29.
  • La plage de scores pour les fichiers suspects est comprise entre 30 et 69.
  • La plage de scores pour les fichiers malveillants est comprise entre 70 et 100.
  • Le score des fichiers non inspectés est de -1.

Si le verdict du fichier est malveillant ou suspect, la famille de programmes malveillants et la catégorie de programmes malveillants de ce fichier s'affichent. Un seul fichier peut appartenir à plusieurs familles de programmes malveillants et catégories de programmes malveillants. Cependant, si la famille de programmes malveillants et la catégorie de programmes malveillants d'un fichier sont inconnues de NSX, les informations ne s'affichent pas dans l'interface utilisateur.

Note : Pour chaque fichier, les détails de l'événement (détails de l'inspection) sont agrégés et affichés sur le tableau de bord. Par exemple, si un seul fichier est inspecté cinq fois dans le centre de données, cinq événements de fichiers sont générés. En d'autres termes, le nombre d'inspections pour le fichier est de cinq. Toutefois, le graphique à bulles affiche une seule bulle pour le fichier. Le tableau contient alors une ligne unique pour ce fichier. Lorsque vous pointez sur une bulle, un résumé des inspections effectuées pour le fichier s'affiche. De même, lorsque vous développez la ligne d'un fichier dans le tableau, les détails de l'inspection la plus récente des fichiers s'affichent. Néanmoins, l'historique de toutes les inspections précédentes du fichier est conservé et consultable.
Le tableau suivant décrit la signification des icônes utilisées sur le graphique à bulles.
Icône Signification

Image d'une icône de petite bulle.

Une petite bulle sur la chronologie représente une inspection unique d'un fichier.


Image d'une icône de grande bulle.

Une grande bulle sur la chronologie représente plusieurs inspections pour un seul fichier.

Exemple : supposons qu'un fichier .exe soit extrait sur cinq VM invitées pendant trois jours et que NSX a identifié ce fichier comme étant suspect. Dans ce cas, cinq inspections de fichiers uniques se sont produites pour le fichier .exe dans le centre de données. Une grande bulle s'affiche sur la chronologie du fichier suspect lors de l'horodatage de la dernière inspection. Vous pouvez cliquer sur la bulle pour afficher l'historique des cinq inspections pour ce fichier .exe.


Image d'une icône de groupe de bulles

Un groupe de bulles sur la chronologie représente plusieurs inspections de fichiers uniques avec le même verdict.

Exemple : supposons que quatre fichiers uniques .docx A, B, C et D soient extraits simultanément (ou presque) du trafic nord-sud dans le centre de données et que NSX a identifié tous ces fichiers comme étant malveillants. Les bulles des quatre fichiers sont regroupées et affichées sur la chronologie des fichiers malveillants du graphique à bulles.

Page Tous les fichiers
Affiche une vue tabulaire de tous les fichiers uniques extraits dans le centre de données, y compris les fichiers inoffensifs. En d'autres termes, cette page affiche tous les fichiers uniques, quel que soit le verdict du fichier. Développez une ligne dans le tableau pour afficher les détails de la dernière inspection du fichier.

Conditions préalables

  • La fonctionnalité Protection contre les programmes malveillants NSX est correctement activée dans NSX Application Platform.
  • La fonctionnalité Protection contre les programmes malveillants NSX est activée sur les clusters d'hôtes ESXi ou les passerelles de niveau 1, ou les deux, en fonction de vos exigences de sécurité.

Procédure

  1. À partir de votre navigateur, connectez-vous à une instance de NSX Manager sur https://nsx-manager-ip-address.
  2. Cliquez sur Sécurité, puis, dans le volet de navigation de gauche, cliquez sur Protection contre les programmes malveillants.
    La page Programmes malveillants potentiels s'affiche. Par défaut, le graphique à bulles et le tableau affichent les fichiers extraits au cours de la dernière heure. Pour afficher les fichiers pendant une période différente, cliquez sur le menu déroulant dans le coin supérieur droit de cette page et sélectionnez une autre période.
  3. (Facultatif) Cliquez sur l'icône de filtre dans le coin supérieur droit de la page et sélectionnez les critères pour filtrer les informations sur la page.
    Les critères de filtre sont appliqués au graphique à bulles et au tableau. Les critères de filtre suivants sont pris en charge :
    • Verdict (y compris liste autorisée)
    • Hachage SHA256
    • Bloqué
    • Type de fichier
    • Catégorie de programmes malveillants
    • Famille de programmes malveillants
  4. Surveillez les détails des événements de fichiers (inspection) qui s'affichent sur le tableau de bord.
    1. Pointez sur une bulle pour afficher les informations récapitulatives sur les inspections d'un fichier dans une fenêtre contextuelle.
      Les informations dans la fenêtre contextuelle varient selon que vous pointez sur une petite bulle, une grande bulle ou un groupe de bulles. Par exemple, lorsque vous pointez sur une petite bulle, la fenêtre contextuelle affiche des informations récapitulatives sur une inspection unique du fichier.
    2. Faites glisser la chronologie dans le graphique à bulles pour effectuer un zoom arrière ou avant, si nécessaire.
    3. Cliquez sur une bulle pour accéder directement à ce fichier dans le tableau. Développez la ligne pour afficher des détails complets sur l'inspection la plus récente de ce fichier.
      Champ Description

      Type de fichier

      Type de fichier extrait sur le nœud de transport (hôte ou dispositif Edge). Par exemple, PdfDocFile, PeExeFile, ShellScriptFile, etc.

      Détails du type de fichier

      Brèves informations sur le type de fichier.

      Client (dernier)

      Machine de destination qui a reçu le fichier lors de la dernière inspection.

      Pour les fichiers extraits sur les VM de point de terminaison dans le trafic est-ouest distribué dans le centre de données, le client est la VM de point de terminaison.

      Pour les fichiers extraits sur les dispositifs NSX Edge dans le trafic nord-sud, le sens du trafic détermine le client.

      Par exemple, si une VM du centre de données charge un fichier vers une machine en dehors du centre de données, le client est la machine en dehors du centre de données. Si une VM du centre de données télécharge un fichier à partir d'une machine en dehors du centre de données, le client est la VM du centre de données.

      Serveur (dernier)

      Machine source à partir de laquelle le fichier a été reçu lors de la dernière inspection.

      Pour les fichiers extraits sur les VM de point de terminaison dans le trafic est-ouest distribué dans le centre de données, Protection contre les programmes malveillants NSX ne peut pas déterminer la source du fichier. Par conséquent, la zone Serveur (Dernier) est toujours vide.

      Pour les fichiers extraits sur les dispositifs NSX Edge dans le trafic nord-sud, le sens du trafic détermine le serveur.

      Par exemple, si une VM du centre de données télécharge un fichier à partir d'une machine en dehors du centre de données, le serveur est la machine en dehors du centre de données. Si une VM du centre de données charge un fichier vers une machine en dehors du centre de données, le serveur est la VM du centre de données.

      Nom du fichier

      Noms associés au fichier. Le hachage d'un seul fichier est unique. Toutefois, les clients qui ont reçu le fichier peuvent l'enregistrer avec des noms différents.

      Protocole

      Protocole utilisé pour le transfert de fichiers. Par exemple, HTTP, FTP, HTTPS, etc.

      Charges de travail

      Cliquez sur le chiffre en regard de ce champ pour afficher la liste de toutes les VM de charge de travail du centre de données qui sont affectées par le fichier.

      Nombre total d'inspections

      Cliquez sur le chiffre en regard de ce champ pour afficher l'historique de toutes les inspections effectuées pour le fichier. Par exemple, si le fichier est inspecté 10 fois dans le centre de données, la fenêtre contextuelle affiche un résumé de la totalité des 10 inspections.

      Type de pare-feu

      La valeur est Distribué/Hôte ou Dispositif Edge.

      Si le fichier a été extrait pour la dernière fois de l'hôte ESXi sur lequel le pare-feu distribué s'exécute, la valeur est Distribué ou Hôte.

      Si le fichier a été extrait pour la dernière fois du dispositif Edge sur lequel le pare-feu de passerelle s'exécute, la valeur est Dispositif Edge.

      Nœud de transport

      ID du nœud de transport Edge ou du nœud de transport hôte sur lequel le fichier a été extrait lors de la dernière inspection.

      Première inspection

      Date et heure de la première inspection du fichier dans le centre de données.

      Dernière inspection

      Date et heure de la dernière inspection du fichier dans le centre de données.

      Soumis par

      La valeur est toujours Système, ce qui signifie que NSX a envoyé le fichier au cloud pour une analyse détaillée.

      Ce champ est supprimé à partir de NSX 4.1.1.

      UUID de l'analyste

      UUID de l'envoi du fichier dans le cloud pour une analyse détaillée. L'UUID s'affiche, que le fichier soit envoyé au cloud lors de la dernière inspection ou lors de l'une des inspections précédentes. Si le fichier a été envoyé plusieurs fois dans le cloud, l'UUID du dernier envoi s'affiche.

      Bloqué

      Indique si le fichier est bloqué. La valeur est Oui ou Non.

    4. (Facultatif) Effectuez les tâches supplémentaires suivantes :
  5. Cliquez sur l'onglet Tous les fichiers.
    Cette page affiche la liste de tous les fichiers uniques extraits dans le centre de données, quel que soit le verdict du fichier. Par défaut, les fichiers extraits au cours de la dernière heure s'affichent. Pour afficher la liste de fichiers pendant une période différente, cliquez sur le menu déroulant dans le coin supérieur droit de cette page et sélectionnez une autre période.