Pagina Profilo evento

È possibile accedere alla pagina Profilo evento utilizzando il pulsante Dettagli nella parte superiore della barra laterale Riepilogo evento.

Nella parte superiore della vista sono presenti diversi controlli e pulsanti:

Fare clic su Eventi simili per visualizzare un elenco a discesa di funzionalità simili. Fare clic sull'icona accanto a ciascuna per selezionare Destinazione, Porta di destinazione, IP di origine, Protocollo trasporto, Classe minaccia e Tipo di minaccia. Quindi fare clic su Visualizza eventi per visualizzare gli eventi selezionati in una nuova scheda.
Fare clic su Gestisci avviso per avviare la barra laterale Gestisci avviso. Utilizzare questa funzionalità per eliminare o abbassare il livello degli eventi innocui, come gli eventi di test o di blocco del sistema, o per applicare punteggi personalizzati a eventi specifici. Per dettagli, consultare Utilizzo della barra laterale Gestisci avviso.
Fare clic sull'icona per comprimere tutti i campi oppure sull'icona per espandere tutti i campi.

Panoramica dell'evento

La sezione superiore include una panoramica grafica della minaccia o dei malware rilevati dall'applicazione NSX Network Detection and Response, nonché la classe e il punteggio d'impatto della minaccia.

Riepilogo evento

La sezione Riepilogo evento fornisce una spiegazione del motivo per cui l'applicazione NSX Network Detection and Response ha contrassegnato questo evento, identifica la minaccia o il malware associato a questo evento, descrive brevemente l'attività rilevata e mostra i dati di supporto.

Se disponibile nel servizio cloud NSX Advanced Threat Prevention, una spiegazione dettagliata dell'evento e del motivo per cui viene considerato dannoso viene visualizzata nella parte superiore della sezione Riepilogo evento.

Blocco server

Nel blocco server vengono visualizzati i seguenti dati.

Dati	Descrizione
Nome host	Se disponibile, il FQDN del server.
Indirizzo IP	L'indirizzo IP del server. Potrebbe essere visualizzata una bandiera geolocalizzata. Se l'icona è presente, fare clic sul collegamento per visualizzare ulteriori dettagli nella pagina Profilo host. Se disponibile, fare clic sull'icona per visualizzare i tag di reputazione del client. Se disponibile, fare clic sull'icona per visualizzare le informazioni di registrazione e altri dati sull'host nella finestra popup WHOIS.
Indirizzo MAC	Se disponibile, l'indirizzo MAC del server. Questo indirizzo viene ottenuto dal monitoraggio del traffico DHCP ed è uno dei punti dati utilizzati dal sistema per generare una voce HostID univoca da mappare a un host specifico nella rete, indipendentemente dal suo indirizzo IP.

Dati

Descrizione

Nome host

Se disponibile, il FQDN del server.

Indirizzo IP

L'indirizzo IP del server. Potrebbe essere visualizzata una bandiera geolocalizzata. Se l'icona è presente, fare clic sul collegamento per visualizzare ulteriori dettagli nella pagina Profilo host.

Se disponibile, fare clic sull'icona per visualizzare i tag di reputazione del client.

Se disponibile, fare clic sull'icona per visualizzare le informazioni di registrazione e altri dati sull'host nella finestra popup WHOIS.

Indirizzo MAC

Se disponibile, l'indirizzo MAC del server. Questo indirizzo viene ottenuto dal monitoraggio del traffico DHCP ed è uno dei punti dati utilizzati dal sistema per generare una voce HostID univoca da mappare a un host specifico nella rete, indipendentemente dal suo indirizzo IP.

Blocco client

Nel blocco client vengono visualizzati i seguenti dati.

Dati	Descrizione
Nome host	Se disponibile, il FQDN del client.
Indirizzo IP	Indirizzo IP del client. Potrebbe essere visualizzata una bandiera geolocalizzata. Se disponibile, fare clic sull'indirizzo o sull'icona per visualizzare la pagina Profilo host. Se disponibile, fare clic sull'icona per visualizzare i tag di reputazione del client. Se disponibile, fare clic sull'icona per visualizzare le informazioni di registrazione e altri dati sull'host nella finestra popup WHOIS.
Indirizzo MAC	Se disponibile, l'indirizzo MAC del client. Questo indirizzo viene ottenuto dal monitoraggio del traffico DHCP ed è uno dei punti dati utilizzati dal sistema per generare una voce HostID univoca da mappare a un host specifico nella rete, indipendentemente dal suo indirizzo IP.

Dati

Descrizione

Nome host

Se disponibile, il FQDN del client.

Indirizzo IP

Indirizzo IP del client. Potrebbe essere visualizzata una bandiera geolocalizzata. Se disponibile, fare clic sull'indirizzo o sull'icona per visualizzare la pagina Profilo host.

Se disponibile, fare clic sull'icona per visualizzare i tag di reputazione del client.

Se disponibile, fare clic sull'icona per visualizzare le informazioni di registrazione e altri dati sull'host nella finestra popup WHOIS.

Indirizzo MAC

Se disponibile, l'indirizzo MAC del client. Questo indirizzo viene ottenuto dal monitoraggio del traffico DHCP ed è uno dei punti dati utilizzati dal sistema per generare una voce HostID univoca da mappare a un host specifico nella rete, indipendentemente dal suo indirizzo IP.

Metadati evento

La sezione Metadati evento include i seguenti dati.

Dati	Descrizione
Risultato della verifica	Indica il risultato dell'evento. Di seguito sono riportati i valori possibili. Bloccato: la minaccia è stata bloccata dall'applicazione NSX Network Detection and Response o da un'applicazione di terze parti. Non riuscito: la minaccia non è riuscita a raggiungere l'obiettivo. Ciò può essere causato dal fatto che il server C&C è offline, l'autore dell'attacco ha apportato errori di codifica, ecc. Completata: la minaccia è stata verificata per il raggiungimento dell'obiettivo. Questo potrebbe essere il tentativo di check-in del server C&C completato e i dati sono stati ricevuti dall'endpoint dannoso. Se il risultato dell'evento è sconosciuto, questo campo non viene visualizzato.
Nome del verificatore	Il nome del verificatore dell'evento. Fare clic sul collegamento per accedere alla finestra popup Documentazione del verificatore.
Messaggio del verificatore	Messaggio del verificatore che fornisce ulteriori informazioni sul risultato, ad esempio l'applicazione di terze parti che ha bloccato la minaccia.
Sensore	Il sensore che ha rilevato l'evento.
Connessioni	Numero di connessioni incluse nell'evento.
Azione	Elenco di azioni intraprese dal sensore (ad esempio, tutte le attività di blocco, se l'evento è stato registrato, se è stato acquisito il traffico o è stato estratto un download di malware).
Utenti che hanno effettuato l'accesso	Elenco degli utenti rilevati nei record degli accessi effettuati.
Risultato	Il risultato dell'evento. Nella maggior parte dei casi, il risultato è `RILEVAMENTO`. Per gli eventi INFORMATIVI e gli eventi promossi dallo Stato INFORMATIVO, un'etichetta aggiuntiva fornisce il motivo dello stato o della sua modifica. Quando si passa il puntatore sull'etichetta viene visualizzato un popup che fornisce ulteriori dettagli sul motivo.
Evento imprevisto correlato	Un collegamento permanente a un evento imprevisto correlato. Facendo clic sul collegamento si apre la pagina Profilo evento imprevisto in una nuova scheda del browser. Questo evento può essere uno di una serie di eventi correlati automaticamente in un evento imprevisto.
ID evento	Visualizzare l'evento nella pagina Dettagli evento di rete. Il collegamento è aperto in una nuova scheda del browser.
Ora di inizio	Data e ora per l'inizio dell'evento.
Ora di fine	Data e ora per la fine dell'evento.

Malware acquisito

La sezione Malware acquisito include informazioni dall'analisi dinamica eseguita nell'istanza di software dannoso correlata all'evento.

È possibile accedere a informazioni tecniche dettagliate sulle funzioni del malware, sul suo funzionamento e sul tipo di rischio che rappresenta. Per ulteriori dettagli sulle informazioni visualizzate, vedere Utilizzo del Report di analisi.

Nota:

Se per l'evento non viene rilevato alcun software dannoso, questa sezione non viene visualizzata.

Prova evento

La sezione Prova evento fornisce i dettagli delle azioni osservati durante l'analisi dell'evento.

Le azioni possono includere il download di file dannosi, il traffico di rete che corrisponde alla firma di rete per le minacce note, l'esecuzione della risoluzione dei nomi di dominio di un dominio malware bloccato, un percorso URL noto non valido e così via.

Se disponibile, fare clic sul collegamento Rilevatore per visualizzare la finestra popup della documentazione relativa al Rilevatore. Per ulteriori dettagli, vedere anche Informazioni su Prova.

Reputazione host

La sezione reputazione host fornisce informazioni sugli host dannosi noti o sulle voci della reputazione dell'URL visualizzate nell'evento.

Nota:

Se l'host non ha alcuna cronologia nota, questa sezione non verrà visualizzata.

Dati di anomalia

In questa sezione vengono visualizzati i record NetFlow o DNS passivo che hanno causato la generazione dell'evento di anomalia.

Verranno intitolati Dati di anomalia DNS o Dati di anomalia NetFlow, a seconda dell'anomalia riscontrata.

È possibile che vengano fornite informazioni aggiuntive, come gli indirizzi IP o le porte che sono state classificate come anomale. Se è coinvolto un numero elevato di elementi, è possibile fare clic su # per visualizzare tutti gli elementi.

Nota:

Se non sono state rilevate anomalie per l'evento, questa sezione non viene visualizzata.

Descrizione minaccia

La sezione Descrizione minaccia fornisce una descrizione dettagliata della minaccia associata all'evento.

Riduzione

La sezione Riduzione fornisce istruzioni dettagliate per la rimozione di qualsiasi software dannoso e di altri processi consigliati per la pulizia dopo l'evento.

Nota:

Se non è noto alcun processo di riduzione per l'evento, questa sezione non viene visualizzata.