1

Indica il numero totale di rilevamenti di eventi di traffico sospetto effettuati dalla funzionalità Traffico sospetto NSX durante il periodo di tempo selezionato.

2

In questa sezione, è possibile selezionare il periodo di tempo utilizzato dal sistema per determinare quali dati cronologici relativi agli eventi rilevati vengono segnalati da Traffico sospetto NSX in questa pagina dell'interfaccia utente. Il periodo di tempo è relativo all'ora corrente e a un periodo di tempo passato. Il periodo di tempo predefinito è Ultima ora. Per modificare il periodo di tempo selezionato, fare clic sulla selezione corrente e selezionare un altro periodo dal menu a discesa. Le selezioni disponibili sono Ultima ora, Ultime 12 ore, Ultime 24 ore, Ultima settimana, Ultime 2 settimane e Ultimo mese.

3

L'interruttore Grafico determina se il grafico a bolle viene visualizzato o meno. Quando l'interruttore Grafico è disattivato, le informazioni sugli eventi di traffico sospetto vengono visualizzate solo nella griglia. Per impostazione predefinita, è impostato su Attivato.

4

Se la funzionalità NSX Network Detection and Response è attivata, quando si visualizza l'interfaccia utente di Traffico sospetto NSX, l'icona di avvio dell'applicazione è visibile nell'angolo superiore destro dell'interfaccia utente.

Per visualizzare ulteriori dettagli sugli eventi anomali rilevati utilizzando l'interfaccia utente di NSX Network Detection and Response, fare clic sull'icona e selezionare NSX Network Detection and Response. Nell'interfaccia utente di NSX Network Detection and Response, fare di nuovo clic sull'icona di avvio dell'applicazione e selezionare NSX per tornare all'interfaccia utente di Traffico sospetto NSX.

5

Questo grafico a bolle include una sequenza temporale visiva che indica quando gli eventi rilevati si sono verificati durante il periodo di tempo selezionato. Ogni evento viene tracciato in base alla gravità dell'evento di traffico sospetto. Di seguito sono indicate le categorie di gravità e i punteggi di gravità corrispondenti.

6

L'area del filtro consente di limitare gli eventi di traffico sospetto visualizzati per il periodo di tempo selezionato. Fare clic su Filtra eventi e selezionare dal menu a discesa i filtri che si desidera applicare e gli elementi specifici nel menu a discesa secondario visualizzato. I filtri disponibili includono i seguenti.

• Punteggio di affidabilità: punteggio che il sistema assegna in base al livello di sicurezza che un evento sia anomalo utilizzando gli algoritmi proprietari usati dalla funzionalità Traffico sospetto NSX.

• Rivelatore: sensore progettato per rilevare gli eventi anomali nel flusso del traffico di rete. Un rilevatore è mappato a una singola categoria o tecnica MITRE ATT&CK.

• Punteggio dell'impatto: punteggio calcolato da un algoritmo proprietario che utilizza una combinazione del punteggio di affidabilità per l'evento di traffico sospetto e della sua gravità, se rilevata correttamente.

• Tattiche: rappresentano il motivo per cui un antagonista ha eseguito un'azione utilizzando una tattica ATT&CK.

• Tecniche: rappresentano il modo in cui un antagonista tenta di raggiungere un obiettivo tattico del proprio attacco utilizzando tecniche/tecniche secondarie specifiche.

• Macchine virtuali: macchine virtuali che hanno partecipato agli eventi rilevati che si sono verificati durante il periodo di tempo selezionato.

7

Fare clic su Legenda per visualizzare l'elenco dei diversi tipi di bolle che possono essere inclusi nel grafico a bolle. L'elenco seguente descrive ogni bolla e il tipo di evento di traffico sospetto che rappresenta.

• Persistenza: l'antagonista tenta di mantenere il controllo dei sistemi della rete.

• Accesso credenziali: l'antagonista tenta di sottrarre i nomi di account e le password.

• Individuazione: l'antagonista tenta di ottenere informazioni sull'ambiente di rete.

• Comando e controllo: l'antagonista tenta di comunicare con i sistemi a rischio e di controllarli.

• Spostamento laterale: un antagonista tenta di spostarsi nell'ambiente di rete.

• Raccolta: un antagonista tenta di raccogliere informazioni utili per il suo obiettivo finale.

• Esfiltrazione: l'antagonista sta tentando di sottrarre dati dalla rete.

• Altro: il rilevatore non può essere associato a una tattica specifica come definito nel framework MITRE ATT&CK.

• Eventi multipli: più eventi di traffico sospetto che si sono verificati nello stesso segmento di tempo. Se si sposta il dispositivo di scorrimento della finestra temporale verso destra, viene modificato l'ambito del tipo di bolle visualizzato. Una bolla di eventi multipli può quindi essere suddivisa in più bolle di altro tipo. Se si fa clic su una bolla di eventi multipli, l'elenco di tutti gli eventi viene visualizzato in un'indicazione. Facendo clic su una riga nella tabella dell'indicazione, si passa alla riga della bolla corrispondente della griglia sottostante.

8

Ogni bolla nel grafico rappresenta un evento di traffico sospetto o più eventi che si sono verificati durante il periodo di tempo selezionato. Il colore o il tipo di bolla rappresenta la tattica utilizzata dall'antagonista durante l'attacco rilevato. Per ulteriori informazioni, vedere le descrizioni nella Legenda.

9

Il dispositivo di scorrimento della finestra temporale consente di visualizzare gli eventi di traffico sospetto che si sono verificati in un sottoinsieme del periodo di tempo selezionato. L'area evidenziata in blu rappresenta ciò che viene visualizzato nel grafico a bolle. Quando si fa scorrere il dispositivo di scorrimento verso destra o verso sinistra, il grafico a bolle viene aggiornato con gli eventi di traffico sospetto che si sono verificati durante il periodo evidenziato nel dispositivo di scorrimento. Se sono presenti eventi di traffico sospetto verificatisi più o meno nello stesso momento, tali eventi vengono rappresentati da una bolla Eventi multipli. Quando si sposta il dispositivo di scorrimento verso destra, è possibile notare che la bolla Eventi multipli si espande nelle varie bolle che rappresentano i diversi eventi di traffico sospetto verificatisi in tale periodo di tempo.

10

La griglia include informazioni su ogni evento di traffico sospetto identificato dalla funzionalità Traffico sospetto NSX durante il periodo di tempo selezionato. Quando non è espansa, una riga mostra i seguenti dati dell'evento chiave.

• Impatto: il numero visualizzato all'interno dell'esagono corrisponde al Punteggio dell'impatto calcolato dalla funzionalità Traffico sospetto NSX per l'evento di traffico sospetto. Il Punteggio dell'impatto è la combinazione tra l'affidabilità dell'evento (Punteggio di fiducia) e la gravità della minaccia (Punteggio gravità), se rilevate correttamente. Se si punta il puntatore sull'icona a forma di esagono, viene visualizzata una descrizione comando contenente il punteggio di fiducia e il punteggio di gravità. Il colore dell'esagono e il testo visualizzato accanto ad esso sono altre due rappresentazioni dello stesso punteggio dell'impatto. I punteggi dell'impatto sono definiti come segue.

  • Il punteggio dell'impatto compreso tra 75 e 100 è rappresentato da un esagono con bordo rosso e dal testo Critica.
  • Il punteggio dell'impatto compreso tra 50 e 74 è rappresentato da un esagono con bordo arancione e dal testo Alta.
  • Il punteggio dell'impatto compreso tra 25 e 49 è rappresentato da un esagono con bordo giallo e dal testo Media.
  • Il punteggio dell'impatto compreso tra 0 e 24 è rappresentato da un esagono con bordo grigio e dal testo Bassa.

• Ora rilevamento: data e ora in cui è stato rilevato l'evento.

• Rivelatore: nome del rivelatore che la funzionalità Traffico sospetto NSX ha utilizzato per rilevare l'evento. Quando si fa clic sul nome del rivelatore, in una finestra di dialogo vengono visualizzate informazioni aggiuntive sul rivelatore, come ad esempio il suo obiettivo, la categoria ATT&CK e un riepilogo del rivelatore. La sezione Categoria ATT&CK include un collegamento al sito Web MITRE ATT&CK che fornisce ulteriori dettagli sulla categoria ATT&CK specifica utilizzata nell'evento di traffico sospetto.

• Tipo: elenca la tattica e la tecnica utilizzate nell'evento di traffico sospetto.

• Oggetti interessati: elenca le macchine virtuali di origine e di destinazione coinvolte nell'evento di traffico sospetto.

La schermata di esempio include anche una riga espansa. Quando è espansa, una riga mostra informazioni aggiuntive sull'evento. I dettagli includono un riepilogo dell'evento rilevato e una spiegazione della visualizzazione o dei dati aggiuntivi dell'evento visualizzati nella riga espansa. Ad esempio, nella schermata precedente, la riga espansa mostra un riepilogo dell'evento rilevato e ciò che la visualizzazione rappresenta. Non tutti gli eventi di traffico sospetto vengono visualizzati. Altri hanno solo dati dettagliati aggiuntivi.

11

Una riga espansa potrebbe anche includere uno o più link nell'angolo in basso a destra. Quando si fa clic su un link, si viene reindirizzati a un'altra pagina dell'interfaccia utente in cui vengono fornite ulteriori informazioni sull'evento rilevato. Sono disponibili i collegamenti seguenti, se applicabili per l'evento di traffico sospetto.

Il seguente link potrebbe essere abilitato, anche se la funzionalità NSX Network Detection and Response non è attivata.

• Visualizza le macchine virtuali interessate e il relativo traffico corrente: quando si fa clic su questo link, il sistema visualizza l'area di visualizzazione nella scheda Pianificazione e risoluzione dei problemi. Mostra le entità di elaborazione coinvolte nell'evento di traffico sospetto. Per ulteriori informazioni, consultare Utilizzo della vista Risorse di elaborazione in NSX Intelligence.

Se l'applicazione NSX Network Detection and Response è attivata, potrebbero essere disponibili anche i link seguenti, se applicabili per l'evento.

• Campagna: se il servizio cloud di NSX Advanced Threat Prevention ha identificato questo evento di traffico sospetto come parte di una campagna, questo collegamento è abilitato. Quando si fa clic sul link, vengono visualizzati i dettagli della campagna nella pagina Campagne dell'interfaccia utente di NSX Network Detection and Response. Per ulteriori informazioni, vedere l'argomento "Gestione della pagina Campagne" nella sezione NSX Network Detection and Response del capitolo sulla sicurezza della Guida all'amministrazione di NSX. Guida all'amministrazione di NSX versione 3.2 e successive sono disponibili nel set della Documentazione di VMware NSX.

• Dettagli evento: quando si fa clic su questo collegamento, viene aperta una nuova scheda del browser e vengono visualizzati ulteriori dettagli sull'evento di traffico sospetto nella pagina Profilo evento dell'interfaccia utente di NSX Network Detection and Response. Per ulteriori informazioni, vedere l'argomento "Utilizzo della pagina Eventi" nella sezione NSX Network Detection and Response del capitolo sulla sicurezza della Guida all'amministrazione di NSX. Guida all'amministrazione di NSX versione 3.2 e successive sono disponibili nel set della Documentazione di VMware NSX.