Monitoraggio dei dettagli degli eventi file sul dashboard di prevenzione malware

Utilizzare il dashboard Prevenzione malware per analizzare i dettagli degli eventi file estratti nel data center per un monitoraggio e un'analisi più approfonditi.

Il dashboard può mostrare gli eventi del file negli ultimi 14 giorni. Per informazioni sul numero massimo di eventi file supportati nel firewall distribuito e nel firewall gateway, vedere lo strumento VMware Configuration Maximums all'indirizzo https://configmax.vmware.com/home.

Le informazioni sugli eventi file (controlli dei file) sono riportate in due schede.

Pagina Potenziale malware

Mostra i dettagli degli eventi aggregati di file dannosi, sospetti e non ispezionati (inclusi nell'elenco di file consentiti) estratti nel data center in un periodo di tempo specifico.

Una finestra nel grafico a bolle rappresenta un file univoco estratto nel data center. Un file è identificato in modo univoco dal relativo hash. Il colore e l'immagine all'interno della bolla indicano se il file è dannoso, sospetto o non ispezionato (incluso nell'elenco di file consentiti).

Una riga nella tabella rappresenta un file. Il numero nella bolla indica il punteggio di minaccia calcolato per il file. Il punteggio varia da 0 a 100 e indica il livello di rischio o intento dannoso associato al file. Un punteggio di minaccia elevato indica una maggiore quantità di rischio e viceversa. Ad esempio:

L'intervallo di punteggio per i file innocui è 0-29.
L'intervallo di punteggio per i file sospetti è 30-69.
L'intervallo del punteggio per i file dannosi è 70-100.
I file non ispezionati hanno un punteggio pari a -1.

Se il verdetto del file è dannoso o sospetto, vengono visualizzate la famiglia di malware e la classe di malware per quel file. Un singolo file può appartenere a più famiglie di malware e classi di malware. Tuttavia, se la famiglia di malware e la classe di malware per un file è sconosciuta a NSX-T, le informazioni non vengono visualizzate nell'interfaccia utente.

Nota: Per ogni file, i dettagli dell'evento (dettagli dell'ispezione) vengono aggregati e visualizzati nel dashboard. Ad esempio, se un singolo file viene ispezionato cinque volte nel data center, vengono generati cinque eventi file. In altre parole, il numero di ispezioni per il file è cinque. Tuttavia, il grafico a bolla mostra una singola bolla per il file e la tabella ha una singola riga per tale file. Quando si punta a una bolla, viene visualizzato un riepilogo delle ispezioni eseguite per il file. Allo stesso modo, quando si espande la riga di un file nella tabella, vengono visualizzati i dettagli dell'ispezione del file più recente. Ciononostante, la cronologia di tutte le ispezioni precedenti per il file viene conservata ed è disponibile per la visualizzazione.

La seguente tabella descrive il significato delle icone utilizzate nel grafico a bolle.

Icona	Significato
	Una bolla di piccole dimensioni nella sequenza temporale rappresenta un'ispezione singola per un file.
	Una bolla di grandi dimensioni nella sequenza temporale rappresenta più ispezioni per un singolo file. Esempio: si supponga che un file .exe sia stato estratto in cinque macchine virtuali guest in tre giorni e NSX abbia stabilito che il file è sospetto. In questo caso, nel data center sono state effettuate cinque ispezioni di file univoci per il file .exe. Nella sequenza temporale sospetta viene visualizzata una bolla di grandi dimensioni nell'ultima ispezione di data e ora. È possibile fare clic sulla bolla per visualizzare la cronologia di tutte e cinque le ispezioni per questo file .exe.
	Un gruppo di bolle nella sequenza temporale rappresenta più ispezioni di file univoci con lo stesso verdetto. Esempio: si supponga che quattro file .docx univoci A, B, C e D vengano estratti contemporaneamente (o quasi) dal traffico nord-sud nel data center e che NSX abbia stabilito che tutti questi file sono dannosi. Le bolle per tutti e quattro i file vengono raggruppate e visualizzate nella sequenza temporale dannosa del grafico a bolle.

Icona

Significato

Una bolla di piccole dimensioni nella sequenza temporale rappresenta un'ispezione singola per un file.

Immagine di un'icona a forma di bolla di grandi dimensioni

Una bolla di grandi dimensioni nella sequenza temporale rappresenta più ispezioni per un singolo file.

Esempio: si supponga che un file .exe sia stato estratto in cinque macchine virtuali guest in tre giorni e NSX abbia stabilito che il file è sospetto. In questo caso, nel data center sono state effettuate cinque ispezioni di file univoci per il file .exe. Nella sequenza temporale sospetta viene visualizzata una bolla di grandi dimensioni nell'ultima ispezione di data e ora. È possibile fare clic sulla bolla per visualizzare la cronologia di tutte e cinque le ispezioni per questo file .exe.

Immagine di un gruppo di bolle a forma di icona

Un gruppo di bolle nella sequenza temporale rappresenta più ispezioni di file univoci con lo stesso verdetto.

Esempio: si supponga che quattro file .docx univoci A, B, C e D vengano estratti contemporaneamente (o quasi) dal traffico nord-sud nel data center e che NSX abbia stabilito che tutti questi file sono dannosi. Le bolle per tutti e quattro i file vengono raggruppate e visualizzate nella sequenza temporale dannosa del grafico a bolle.

Pagina Tutti i file

Mostra una vista tabulare di tutti i file univoci estratti nel data center, inclusi quelli innocui. In altre parole, questa pagina mostra tutti i file univoci indipendentemente dal verdetto del file. Espandere una riga nella tabella per visualizzare i dettagli dell'ultima ispezione del file.

Prerequisiti

La funzionalità Prevenzione malware NSX è stata attivata correttamente in NSX Application Platform.
La funzionalità Prevenzione malware NSX viene attivata nei cluster di host ESXi o nei gateway di livello 1 o in entrambi, a seconda dei requisiti di sicurezza.

Procedura

Dal browser accedere a un NSX Manager all'indirizzo https://nsx-manager-ip-address.
Fare clic su Sicurezza e quindi nel riquadro di navigazione a sinistra fare clic su Prevenzione malware.
Viene visualizzata la pagina Potenziale malware. Per impostazione predefinita, il grafico a bolle e la tabella mostrano i file estratti nell'ultima ora. Per visualizzare i file per un periodo di tempo diverso, fare clic sul menu a discesa nell'angolo superiore destro di questa pagina e selezionare un periodo di tempo diverso.
(Facoltativo) Fare clic sull'icona del filtro nell'angolo superiore destro della pagina e selezionare i criteri per filtrare le informazioni nella pagina.
I criteri di filtro vengono applicati sia al grafico a bolle sia alla tabella. Al momento, i criteri di filtro supportati sono Verdetto (compresa la lista consentita) e l'hash SHA256.

Monitora i dettagli degli eventi file (ispezioni) mostrati nel dashboard.

Puntare su una bolla per visualizzare le informazioni di riepilogo relative alle ispezioni per un file in una finestra pop-up.
Le informazioni nella finestra pop-up variano a seconda che si punti a una bolla di piccole dimensioni, a una di grandi dimensioni o a un gruppo di bolle. Ad esempio, quando si punta a una bolla di piccole dimensioni, la finestra pop-up mostre le informazioni di riepilogo relative a una singola ispezione del file.
Se necessario, trascinare la sequenza temporale nel grafico a bolle per ingrandire o rimpicciolire.

Fare clic su una bolla per passare direttamente a tale file nella tabella. Espandere la riga per visualizzare i dettagli completi sull'ispezione più recente per questo file.

Campo	Descrizione
Tipo di file	Il tipo di file estratto nel nodo di trasporto (host o edge). Ad esempio, PdfDocFile, PeExeFile, ShellScriptFile e così via.
Dettagli tipo di file	Informazioni brevi sul tipo di file.
Client (ultimo)	La macchina di destinazione che ha ricevuto il file nell'ultima ispezione. Per i file estratti nelle macchine virtuali endpoint nel traffico est-ovest distribuito all'interno del data center, il client è la macchina virtuale endpoint stessa. Per i file estratti in NSX Edge nel traffico nord-sud, la direzione del traffico determina il client. Ad esempio, se una macchina virtuale all'interno del data center carica un file in una macchina esterna a quest'ultimo, il client è la macchina all'esterno del data center. Se una macchina virtuale all'interno del data center sta scaricando un file da una macchina esterna a quest'ultimo, il client è la macchina virtuale all'interno del data center.
Server (ultimo)	Macchina di origine da cui è stato ricevuto il file nell'ultima ispezione. Per i file estratti nelle macchine virtuali endpoint nel traffico est-ovest distribuito all'interno del data center, Prevenzione malware NSX non è in grado di stabilire l'origine del file. Pertanto, la casella Server (Ultimo) è sempre vuota. Per i file estratti in NSX Edge nel traffico nord-sud, la direzione del traffico determina il server. Ad esempio, se una macchina virtuale all'interno del data center sta scaricando un file da una macchina esterna a quest'ultimo, il server è la macchina all'esterno del data center. Se una macchina virtuale all'interno del data center carica un file in una macchina esterna a quest'ultimo, il server è la macchina virtuale all'interno del data center.
Nome file	I nomi associati al file. Un singolo file ha un hash univoco, ma i client che hanno ricevuto il file potrebbero salvarlo con nomi diversi.
Protocollo	Protocollo utilizzato per il trasferimento dei file. Ad esempio, HTTP, FTP, HTTPS e così via.
Carichi di lavoro	Fare clic sul numero accanto a questo campo per visualizzare l'elenco di tutte le macchine virtuali del carico di lavoro nel data center interessate dal file.
Ispezioni totali	Fare clic sul numero accanto a questo campo per visualizzare la cronologia di tutte le ispezioni eseguite per il file. Ad esempio, se il file viene ispezionato 10 volte nel data center, la finestra pop-up mostra un riepilogo di tutte e 10 le ispezioni.
Tipo di firewall	Il valore è `Host` o `Edge`. Se il file è stato estratto l'ultima volta dall'host ESXi in cui è in esecuzione il firewall distribuito, il valore è `Host`. Se l'ultimo file è stato estratto dall'Edge in cui è in esecuzione il firewall del gateway, il valore è `Edge`.
Nodo di trasporto	ID del nodo di trasporto Edge o del nodo di trasporto Host in cui il file è stato estratto nell'ultima ispezione.
Prima ispezione	Data e ora in cui il file è stato ispezionato per la prima volta nel data center.
Ultima ispezione	Data e ora dell'ultima in cui il file è stato ispezionato nell'ultima volta nel data center.
Inviato da	Il valore è sempre `Sistema`, il che significa che NSX ha inviato il file al cloud per un'analisi dettagliata.
UUID analista	L'UUID dell'invio del file al cloud per un'analisi dettagliata. Viene visualizzato l'UUID indipendentemente dal fatto che il file venga inviato al cloud durante l'ultima ispezione o in qualsiasi delle ispezioni precedenti. Se il file è stato inviato più volte al cloud, viene visualizzato l'UUID dell'ultimo invio.
Bloccato	Indica se il file è bloccato. Il valore è Sì o No.

(Facoltativo) Eseguire le seguenti attività aggiuntive:

Fare clic sulla scheda Tutti i file.
In questa pagina viene visualizzato un elenco di tutti i file univoci estratti nel data center, indipendentemente dal verdetto del file. Per impostazione predefinita, vengono visualizzati i file estratti nell'ultima ora. Per visualizzare l'elenco dei file per un periodo di tempo diverso, fare clic sul menu a discesa nell'angolo in alto a destra di questa pagina e selezionare un periodo di tempo diverso.