Les détections, également appelées événements de détection ou événements, représentent l'activité concernant la sécurité qui s'est produite dans le réseau et qui a été détectée par NSX Network Detection and Response. Les détections facilitent le tri et l'investigation des menaces en présentant une analyse de tous les événements liés à des menaces, quel que soit le type d'événement, dans l'environnement NSX.

Lorsque de nouvelles données de détection sont reçues par le système NSX Network Detection and Response, les données sont comparées aux événements de détection existants pour déterminer si la nouvelle détection peut être agrégée avec un événement de détection existant. Pour plus d'informations sur l'agrégation des détections, reportez-vous à la section Agrégation des détections.

Les événements de détection peuvent être corrélés ensemble pour former une campagne. Si un événement de détection n'a aucune corrélation avec une autre détection, il ne sera inclus dans aucune campagne.

Afficher la liste d'événements unifiés

Pour afficher tous les événements de détection générés par NSX Network Detection and Response, accédez à la page Détection des menaces et Réponse > Détections. Cette page fournit un histogramme en haut de la page et une liste en dessous de l'histogramme. La liste est appelée liste d'événements unifiés et affiche tous les événements de détection. Chaque ligne de la liste représente un événement de détection.

Page Détection

  • Cliquez sur Copier l'URL en haut à droite de la page pour copier l'adresse du lien avec les filtres actuellement appliqués.

Filtrer la liste d'événements unifiée

Vous pouvez filtrer la liste d'événements unifiée avec les méthodes suivantes :
Méthode Détails
Cases à cocher

Cochez les cases au-dessus de l'histogramme pour filtrer la liste des événements unifiés en fonction du score d'impact de la détection.

Pour plus d'informations sur les scores d'impact de la détection, reportez-vous à la section À propos des scores d'impact de détection.

Cases à cocher des niveaux de score d'impact.
Histogramme

Cliquez sur les barres d'histogramme pour filtrer la liste d'événements unifiée en fonction de la tactique MITRE ATT&CK identifiée dans la détection.

Histogramme des détections triées par les tactiques MITRE ATT&CK.
Champ Filtre

Cliquez sur le champ Filtre pour obtenir des options de filtrage plus puissantes :

  1. Dans le menu déroulant, sélectionnez un critère de filtre. Les critères disponibles sont les suivants :
    • Score d'impact
    • Type
    • Tactique de MITRE
    • Technique de MITRE
    • Menace
    • Résultat de l'attaque
    • Charge de travail affectée
    • Campagnes
    • Charge de travail affectée par adresse IP

    Options de filtrage.

  2. Indiquez si vous voulez inclure ou exclure les résultats du critère de filtre sélectionné, puis cliquez sur Appliquer.

    Inclusion des options de critères de filtre spécifiques.

  3. Pour combiner plusieurs filtres, vous pouvez procéder comme suit :
    • Utilisez la logique OR entre les critères dans le même filtre.
    • Utilisez la logique AND entre les filtres.

Afficher un résumé des événements de détection

Développez la ligne de détection et cliquez sur Plus de détails pour afficher le résumé de la détection.

Résumé de la détection

Type de détection

Vous pouvez afficher l'icône du type de détection dans la colonne Type. Passez la souris sur pour afficher le type de détection.

Icône du type de détection. Passez le curseur dessus pour voir le nom

Types et icônes de définition qui s'affichent dans l'interface utilisateur de NDR

Exporter et télécharger des fichiers de capture de paquets

Dans l'onglet Données de flux du résumé de détection, vous pouvez exporter et télécharger les fichiers PCAP (capture de paquets) capturés par NSX IDS/IPS. Pour plus d'informations sur PCAP, reportez-vous à la section Exporter et télécharger des fichiers de capture de paquets.
Note : Le fichier PCAP est disponible pour les événements E-O/IDS/IPS distribués et si PCAP est activé dans le profil IDS. Si le fichier PCAP n'est pas disponible, le lien ne s'affiche pas. En outre, il est obligatoire d'utiliser la version 4.2 ou ultérieure de NSX et de Plate-forme d'application NSX.

Présentation du comportement des programmes malveillants

La section Programmes malveillants fournit des informations à partir de l'analyse dynamique qui a été effectuée sur l'instance de logiciel malveillant associée à l'événement.

Cliquez sur Afficher les rapports pour accéder à des informations techniques détaillées sur la fonction du programme malveillant, son fonctionnement et le type de risque qu'il présente. Pour plus d'informations sur les informations affichées, consultez la section Détails du rapport d'analyse.

Note : Si aucun logiciel malveillant n'a été détecté pour l'événement, cette section ne s'affiche pas.