Il widget Eventi di rilevamento fornisce una panoramica dei singoli eventi rilevati dall'applicazione NSX Network Detection and Response.
Un evento rappresenta un'attività di rilevanza della sicurezza che si è verificata nella rete monitorata. Un evento può coinvolgere più flussi di dati (ad esempio, connessioni TCP), ma rappresenta un singolo tipo di attività che si verifica in un breve periodo di tempo (al massimo un'ora).
Se l'intervallo di tempo selezionato include oggi (impostazione predefinita), il widget aggiorna l'elenco degli eventi ogni 5 minuti. I nuovi eventi sono evidenziati in verde; il colore scompare dopo alcuni secondi.
Il campo Ricerca rapida sopra l'elenco fornisce una ricerca rapida durante l'immissione. Filtrare le righe dell'elenco, visualizzando solo le righe con testo, in qualsiasi campo, che corrisponde alla stringa di query.
Aggiornare manualmente l'elenco degli eventi facendo clic sul pulsante Aggiorna ora.
Personalizzare il numero di righe da visualizzare. Per impostazione predefinita, vengono visualizzate 30 voci. È possibile visualizzare fino a 1.000 eventi, tuttavia, potrebbe verificarsi un ritardo sensibile per il sistema in caso di recupero di un gran numero di eventi. Utilizzare le icone e per passare da una pagina all'altra.
Ogni riga visualizza un riepilogo di un evento. Fare clic in un punto qualsiasi della riga di una voce per accedere alla barra laterale Riepilogo evento.
L'elenco degli eventi contiene le seguenti colonne.
Nome della colonna |
Descrizione |
---|---|
Data e ora |
Indica l'ora di inizio dell'evento. L'ora viene visualizzata nel fuso orario attualmente selezionato. L'elenco è ordinato in base alla data e ora, per impostazione predefinita in ordine decrescente (l'ultimo evento in cima). È possibile utilizzare le icone per ordinare l'elenco in ordine crescente (l'evento meno recente in alto) o tornare al valore predefinito. Fare clic sull'icona per ordinare l'elenco in base alla data e all'ora. |
Host |
L'host coinvolto in questo evento nella rete monitorata. In questa colonna verranno visualizzati l'indirizzo IP, il nome host o l'etichetta dell'host, in base alle Impostazioni di visualizzazione correnti. Fare clic sull'icona Modifica accanto all'host per aprire il popup Etichetta/silenziamento host. |
Altro IP |
Indirizzo IP e porta dell'host correlato a questo evento. Ad esempio, 203.0.113.115:80 indica che l'indirizzo IP 203.0.113.115 è stato contattato sulla porta 80. Il sistema tenta di geolocalizzare l'indirizzo IP. In caso di esito positivo, una piccola icona a contrassegno indica il paese che ospita l'indirizzo IP. Per gli host locali viene utilizzata l'icona di una rete locale. |
Altro host |
Il nome host o l'indirizzo IP della voce dannosa o sospetta. |
Minaccia |
Nome della minaccia o del rischio di sicurezza rilevato. |
Classe delle minacce |
Nome della classe di minaccia rilevata. |
Impatto |
Il valore dell'impatto indica il livello critico della minaccia rilevata e varia da 1 a 100:
Se viene visualizzata l'icona , ciò indica che l'artefatto è stato bloccato. Fare clic sull'icona per ordinare l'elenco in base all'impatto. |