Le minacce rilevate da NSX Network Detection and Response sono rappresentate dalle schede Minacce nella scheda Profilo host.

Una scheda minacce mostra il punteggio calcolato per le minacce, il nome e la classe della minaccia, il risultato del rilevamento (se disponibile), lo stato della minaccia e altre azioni. Se disponibile, viene mostrata la campagna a cui questa minaccia è connessa. Espandere la scheda per visualizzarne la prova correlata.

Utilizzare il menu a discesa Ordina per per ordinare le schede delle minacce. È possibile scegliere tra Più recente, Più vecchio, Impatto maggiore (impostazione predefinita) e Impatto minore.

La casella di testo Cerca minacce offre una ricerca rapida durante l'immissione. Filtra le righe dell'elenco, visualizzando solo le righe con testo, in qualsiasi campo, che corrisponde alla stringa di query fornita.

Attivare o disattivare il pulsante Mostra minacce chiuse per filtrare le schede delle minacce visualizzate in base allo stato della minaccia. L'impostazione predefinita è quella di mostrare tutte le minacce.

Gestione delle Schede minacce

Le Schede minacce mostrano tutte le minacce associate all'host selezionato e i livelli di minaccia corrispondenti. In ciascuna scheda vengono visualizzati l'impatto calcolato delle minacce, il nome e la classe delle minacce e, se disponibile, il risultato del rilevamento. Mostra anche lo stato della minaccia: Aperta o Chiusa.

Fare clic su Passi successivi e selezionare un'azione dal menu a discesa.

  • Selezionare Chiudi per chiudere la minaccia. Selezionare Apri per riaprire una minaccia chiusa.

  • Selezionare Gestisci avviso per creare una regola di gestione avvisi corrispondente alla minaccia.

La sezione Riepilogo provacontiene una panoramica della prova e degli altri dati rilevati per la minaccia. Fare clic su punta di freccia rivolta verso destra o quasi ovunque nella scheda per espandere Dettagli prova.

Se i dati della campagna connessi a questa minaccia sono disponibili, viene visualizzato Campagna con un collegamento alla barra laterale Riepilogo campagna.

Dettagli prova

La colonna Prova visualizza i download dei file, le firme e altre categorie di tipi di prove insieme a data e ora di quando la prova è stata visualizzata. Quando si fa clic sul collegamento del tipo di prova, sul lato destro della pagina viene visualizzata la barra laterale corrispondente Riepilogo prova per tale tipo. La barra laterale Riepilogo provaè disponibile per i seguenti tipi di prova.

  • Anomalia

  • Download del file

  • Firma

Nella colonna Interazioni di rete e IOC di rete viene visualizzato l'indirizzo IP o il nome di dominio degli host esterni. Facendo clic sul collegamento, la barra laterale Interazione di rete si espande.

La colonna Dati a supporto fornisce un collegamento agli eventi di rilevamento e un collegamento ai dettagli delle minacce.

Risultati del rilevamento

I risultati dell'evento di rilevamento delle minacce hanno i seguenti valori possibili, elencati in ordine di gravità.

Risultato rilevamento

Descrizione

Riuscito

L'obiettivo per la minaccia è stato verificato. Questo potrebbe essere il tentativo di check-in del server C&C completato e i dati sono stati ricevuti dall'endpoint dannoso.

Non riuscita

La minaccia non è riuscita a raggiungere l'obiettivo. Ciò può essere causato dal fatto che il server C&C è offline, l'autore dell'attacco ha apportato errori di codifica e così via.

Bloccato

La minaccia è stata bloccata dall'applicazione NSX Network Detection and Response o da un'applicazione di terze parti.

Se il risultato dell'evento è sconosciuto, questo campo non viene visualizzato.

Barra laterale d'Interazione di rete

È possibile espandere la barra laterale d'Interazione di rete facendo clic sul collegamento dell'indirizzo IP o del nome di dominio per un host specifico nella colonna Interazione di rete e IOC di rete della scheda Minacce.

L'impatto e l'indirizzo IP dell'host selezionato vengono visualizzati nella parte superiore della barra laterale.

Riepilogo WHOIS

La sezione Riepilogo WHOIS visualizza i campi principali del record WHOIS per l'indirizzo IP o il nome di dominio selezionato. Fare clic sull'icona Icona whois per accedere alla finestra pop-up WHOIS per ulteriori dettagli sull'indirizzo IP o il dominio. Per dettagli, consultare Finestra popup WHOIS.

Apri in

La sezione Apri in… contiene collegamenti a provider di terze parti come DomainTools, VirusTotal, Google e altri. Se sono presenti più provider di quelli visualizzabili nella vista, è possibile fare clic su Espandi Punta di freccia rivolta verso il basso per visualizzarli.

Barra laterale Riepilogo prova anomalia

La barra laterale Riepilogo prova per un tipo di anomalia viene visualizzato quando si fa clic su un collegamento di prova anomalia nella colonna Prova della scheda Minacce.

Fare clic su Evento di riferimento Punta di freccia rivolta verso destra per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.

Viene fornita una breve descrizione delle prove.

Dettagli delle minacce

I seguenti dettagli vengono forniti riguardo alla minaccia.
  • Minaccia: nome del rischio di sicurezza rilevato.
  • Classe di minaccia: nome della classe di rischio di sicurezza rilevata.
  • Prima visualizzazione Icona con freccia bidirezionale per l'array Ultima visualizzazione: un grafico con la data e l'ora della prima e dell'ultima visualizzazione. La durata viene visualizzata sotto il grafico.

Riepilogo rilevatore

Viene visualizzato un riepilogo del rilevatore. Per ulteriori dettagli, fare clic sul collegamento Altri dettagli Punta di freccia rivolta verso destra per visualizzare la finestra pop-up Rilevatore. Per dettagli, consultare Finestra popup della documentazione del Rilevatore.
  • Nome del rilevatore: il nome del rilevatore.
  • Obiettivo: breve descrizione dello scopo del rilevatore.
  • Categorizzazione ATT &CK: se applicabile, viene fornito un collegamento alla tecnica MITRE ATT&CK. In caso contrario, viene visualizzato N/D (N/A).

Dettagli anomalia

Sono disponibili i dettagli relativi all'anomalia.
Dettaglio Descrizione
Descrizione

Breve descrizione dell'anomalia che spiega in che modo si discosta dal comportamento della base di confronto o perché dev'essere considerata sospetta.

Tipo di stato

Tipo di anomalia. Per esempio, Outlier.

Anomalia

Elemento anomalo visualizzato nell'host. Ad esempio, l'accesso a una porta inusuale.

Elementi base di confronto

Gli elementi che in genere sono visualizzati in questo host.

Profilo creato alle

Data e ora per la creazione della base di confronto.

Profilo aggiornato alle

Data e ora in cui è stata rilevata l'anomalia.

Diagramma Outlier

Il diagramma illustra il normale caricamento/scaricamento dati per l'host per il confronto con il trasferimento di dati contrassegnato come anomalo. I seguenti dati potrebbero essere visualizzati, in base al rilevatore

  • Le dimensioni di caricamento/download che hanno causato l'attivazione dell'avviso anomalia.

  • Le dimensioni massime di caricamento/download prima che sia stato attivato l'avviso anomalia.

  • Dimensioni medie di caricamento/download per l'host.

Barra laterale Riepilogo prova di download del file

La barra laterale Riepilogo provaper un tipo di prova di download del file viene visualizzato quando si fa clic su un collegamento nella colonna Prova della scheda Minacce.

Fare clic su Evento di riferimento Punta di freccia rivolta verso destra per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.

Viene fornita una breve descrizione delle prove.

Dettagli del file

I dettagli seguenti relativi al file vengono forniti.
  • Tipo di file: il tipo di alto livello del file scaricato. Per l'elenco dei tipi di file, vedere Scheda univoca.
  • Attendibilità: indica la probabilità che il file scaricato sia dannoso. Poiché il sistema utilizza l'esadecimale avanzata per rilevare minacce sconosciute, in alcuni casi la minaccia rilevata potrebbe avere un valore di attendibilità minore se il volume di informazioni disponibili per tale minaccia specifica è limitato.
  • SHA1: hash SHA1 del file.

Identificazione malware

Viene visualizzato un riepilogo dei malware rilevati. Per ulteriori dettagli, fare clic sul collegamento Report di analisi Punta di freccia rivolta verso destra per visualizzare il report di analisi. Per ulteriori dettagli, vedere Utilizzo del Report di analisi.
  • Classe antivirus: un'etichetta che definisce la classe antivirus del file scaricato.
  • Famiglia antivirus: un'etichetta che definisce la famiglia di antivirus del file scaricato.
  • Malware: un'etichetta che definisce il tipo di malware del file scaricato. Se l'etichetta ha l'icona Icona di tag, fare clic sull'icona per visualizzare la descrizione in una finestra pop-up.
  • Panoramica del comportamento: i comportamenti rilevati del file scaricato. Se sono presenti molti dati, per impostazione predefinita viene visualizzato un elenco parziale. Fare clic su Espandi Icona con punta di freccia rivolta verso il basso per visualizzare ulteriori informazioni. Per visualizzare nuovamente l'elenco parziale, fare clic su Comprimi Icona con punta di freccia rivolta verso l'alto .

Apri in...

Per aprire il file scaricato in un servizio specifico, fare clic su una delle icone per i provider. Per impostazione predefinita, un elenco parziale di provider viene visualizzato.

Dettagli download

I dettagli del file scaricato vengono visualizzati. Per ulteriori dettagli, fare clic sul collegamento Report di analisi Icona con punta di freccia rivolta verso destra per visualizzare il report di analisi. Per ulteriori dettagli, vedere Utilizzo del Report di analisi.
Informazioni Descrizione
Nome file Percorso della risorsa del file scaricato.
URL

URL completo del file scaricato.

Prima visualizzazione

Data e ora della prima visualizzazione del file scaricato. Se sono presenti più istanze di questo file, sarà un intervallo di data e ora.

Scaricato da

Indirizzo IP del server di origine.

Protocollo

Il protocollo utilizzato per trasferire il file scaricato dal server di origine.

Agente utente

Se disponibile, la stringa dell'agente utente visualizzata per la richiesta di download.

Barra laterale Riepilogo prova di firma

La barra laterale Riepilogo prova per un tipo di prova di firma viene visualizzato quando si fa clic su un collegamento di prova di firma nella colonna della scheda Minacce.

Fare clic su Evento di riferimento Punta di freccia rivolta verso destra per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.

Viene fornita una breve descrizione delle prove.

Dettagli delle minacce

Vengono forniti i dettagli seguenti relativi alla minaccia.

Dettaglio

Descrizione

Minaccia

Nome del rischio di sicurezza rilevato.

Classe delle minacce

Nome della classe di rischio di sicurezza rilevata.

Attività

Se disponibile, mostra l'attività corrente della minaccia rilevata.

Fiducia

Indica la probabilità che la minaccia rilevata sia dannosa.

Per gli eventi che mostrano risultati di analisi, ad esempio un download di file, viene visualizzato un punteggio.

Prima visualizzazione

Icona a forma di freccia bidirezionale per l'array

Ultima visualizzazione

Un grafico con la data e l'ora della prima e dell'ultima visualizzazione.

La durata viene visualizzata sotto il grafico.

Dettagli traffico

Il widget Traffico eventi di riferimento fornisce una panoramica del traffico osservato tra gli host coinvolti nell'evento a cui si fa riferimento. Almeno un host coinvolto nell'evento è un host monitorato. L'host che comunica potrebbe essere un host monitorato o un sistema esterno.

La freccia indica la direzione del traffico tra gli host.

Viene visualizzato l'indirizzo IP di ciascun host. Se l'host è locale, l'indirizzo è un collegamento su cui è possibile fare clic per visualizzare la pagina Profilo host. È possibile che vengano visualizzati un contrassegno di posizione geografica, Icona home, o un'icona Icona di rete. È possibile visualizzarne più di uno. Se disponibile, viene visualizzato un nome host. Vengono visualizzati tutti i tag dell'host applicati all'host. Se disponibile, fare clic sull'icona Icona a forma di mappamondo per visualizzare i dettagli dell'host nella finestra pop-up WHOIS. Per dettagli, consultare Finestra popup WHOIS.

Riepilogo rilevatore

Viene visualizzato un riepilogo del rilevatore. Per ulteriori dettagli, fare clic sul collegamento Altri dettagli Punta di freccia rivolta verso destra per visualizzare la finestra pop-up Rilevatore. Per dettagli, consultare Finestra popup della documentazione del Rilevatore.

  • Nome del rilevatore: il nome del rilevatore.

  • Obiettivo: breve descrizione dello scopo del rilevatore.

  • Regola IDS: fare clic sul collegamento Visualizza regola (se disponibile) per visualizzare la finestra popup Rilevatore. Per dettagli, consultare Finestra popup della documentazione del Rilevatore. Può contenere una regola IDS.