La vista dei dettagli dei file scaricati è espansa all'interno dell'elenco File scaricati.

Viene visualizzato un sottoinsieme dei seguenti dettagli disponibili, in base alla scheda selezionata nella pagina File scaricati.

Nome dettagli

Descrizione

Report di analisi

Fare clic sul collegamento o sull'icona Icona di collegamento per visualizzare il report di analisi in una nuova scheda.

Tipo di file

Il tipo di alto livello del file scaricato. Per l'elenco dei tipi di file, vedere File scaricati nel tempo.

Dettagli tipo di file

Se disponibile, ulteriori dettagli sul tipo di file. Per esempio, PE executable, application, 32-bit, Intel i386 o Zip archive data.

Nome del file

Se disponibile, il nome del file.

Scaricato

Per i download Unico , il numero di download del file da parte degli host nella rete.

Fare clic sul numero o sull'icona Icona di ricerca per visualizzare i download del file nella pagina dei download. Il collegamento passa un filtro UUID degli analisti che limita la visualizzazione ai download del file specifico.

Scaricato da

Indirizzi IP degli host nella rete che ha scaricato il file.

Se disponibile, fare clic su icona whois per visualizzare le informazioni di registrazione e altri dati sull'host nella Finestra popup WHOIS.

URL

URL del download del file. Questa è una stringa Unicode con codifica UTF-8.

URL

L'URL non elaborato del download del file. Se nell'URL sono presenti caratteri non ASCII, nonché il carattere barra rovesciata stessa, verrà codificato con la barra rovesciata.

Protocollo

Protocolli di rete utilizzati per scaricare il file. Uno di HTTP/HTTPS, FTP o SMB.

Scaricato da

Indirizzo IP dell'host contattato.

Se disponibile, fare clic su icona whois per visualizzare le informazioni di registrazione e altri dati sull'host all'indirizzo Finestra popup WHOIS.

Host HTTP

Se disponibile, il nome di dominio dell'host contattato. Questo nome può essere derivato da altri dati, incluso l'indirizzo IP.

Se disponibile, fare clic su icona whois per visualizzare le informazioni di registrazione e altri dati sull'host nella Finestra popup WHOIS.

Agente utente

La stringa dell'agente utente estratta dalla richiesta HTTP/HTTPS.

Primo download

Per i download unici, data e ora del primo rilevamento registrato del download del file.

Ultimo download

Per download unici, data e ora del rilevamento più recente del download del file.

Data e ora

Data e ora del rilevamento del download del file.

Dimensioni file

Dimensioni del file in byte.

MD5

L'hash MD5 del file scaricato.

SHA1

Hash SHA1 del file scaricato.

Stato di invio

Indica il motivo per cui il file scaricato non è stato inviato per l'analisi completa. In genere ciò è dovuto alla pre-filtraggio o ad altri motivi. Passare il puntatore del mouse sull'icona Icona con punto interrogativo per visualizzare un pop-up con ulteriori dettagli.

UUID analista

Identificatore unico restituito dal servizio NSX Advanced Threat Prevention dopo l'elaborazione del file scaricato.

ID evento

Un collegamento all'evento associato per il download del file. Fare clic sull'ID o su Icona di collegamento per visualizzare l'evento. Per ulteriori informazioni, consultare Eventi di rilevamento.

Panoramica dell'analisi

La sezione della panoramica dell'analisi fornisce un riepilogo dei risultati dell'analisi di un file scaricato dal servizio NSX Advanced Threat Prevention.

Per aprire il report di analisi completo in una nuova scheda, fare clic su Icona con catena in un cerchio nero. Vedere Utilizzo del Report di analisi.

Per scaricare il file rilevato nella macchina locale, fare clic su Icona di download del file sul lato destro della schermata. Dal menu a discesa, selezionare Scarica file o Scarica come ZIP.

Se si seleziona Scarica come ZIP, viene visualizzata la finestra popup Scarica file come Zip, che richiede di fornire una password facoltativa per l'archivio. Fare clic su Scarica per completare il download del file .ZIP.

Importante:

L'applicazione NSX Network Detection and Response consente di scaricare i file rilevati solo in determinate condizioni.

Se l'artefatto è considerato a basso rischio, viene visualizzata l'icona Icona di download del file ed è possibile scaricarlo nella macchina locale.

Se l'artefatto è considerato rischioso, l'icona Icona di download del file non viene visualizzata a meno che la licenza non disponga della funzionalità ALLOW_RISKY_ARTIFACT_DOWNLOADS.

È necessario tenere presente che l'artefatto può causare danni all'apertura.

Nell'interfaccia di NSX Network Detection and Response potrebbe essere visualizzata la finestra popup Avvertenza: download di file dannoso. Fare clic sul pulsante Accetto per accettare le condizioni e scaricare il file.

Per gli artefatti dannosi, è possibile che si desideri incapsulare il file in un archivio ZIP per impedire che altre soluzioni che monitorano il traffico ispezionino automaticamente la minaccia.

Se non si dispone della funzione ALLOW_RISKY_ARTIFACT_DOWNLOADS e si richiede la possibilità di scaricare artefatti dannosi, contattare l'assistenza VMware.

Fare clic su Icona Espandi e Icona Comprimi per espandere e comprimere le sezioni nella scheda.

Questa sezione Panoramica analisi fornisce un riepilogo dei risultati dell'analisi di un file o di un URL analizzato dal servizio NSX Advanced Threat Prevention. Nella sezione vengono visualizzati i seguenti dati.
  • MD5: l'hash MD5 del file. Per cercare altre istanze di questo artefatto nella rete, fare clic su <icona di ricerca>.
  • SHA1: l'hash SHA1 del file.
  • SHA256: l'hash SHA256 del file.
  • Tipo MIME: l'etichetta utilizzata per identificare il tipo di dati nel file.
  • Invio: data e ora di invio

La sezione Livello di minaccia inizia con un riepilogo dei risultati dell'analisi: L'hash md5 del file è stato rilevato come dannoso/non dannoso.

Vengono quindi visualizzati i seguenti dati:
Valutazione del rischio
In questa sezione vengono visualizzati i risultati della valutazione del rischio.
  • Punteggio di dannosità: imposta un punteggio su 100.
  • Stima del rischio: una stima del rischio posto da questo artefatto:
    • Alto: questo artefatto rappresenta un rischio critico ed è necessario risolverlo con priorità. Questi oggetti sono in genere file o documenti Trojan che contengono exploit in grado di compromettere gravemente il sistema infetto. I rischi sono molteplici: dalla perdita di informazioni al malfunzionamento del sistema. Questi rischi vengono in parte dedotti dal tipo di attività rilevato. La soglia di punteggio per questa categoria è generalmente superiore a 70.
    • Medio: questo artefatto rappresenta un rischio a lungo termine ed è necessario monitorarlo attentamente. Può essere una pagina Web con contenuto sospetto, che può causare tentativi inconsapevoli. Può anche essere un adware o un antivirus falso che non rappresenta una minaccia grave immediata ma può causare problemi di funzionamento del sistema. La soglia di punteggio per questa categoria è generalmente compresa tra 30 e 70.
    • Basso: questo artefatto è considerato non dannoso e può essere ignorato. La soglia di punteggio per questa categoria è generalmente inferiore a 30.

  • Classe di antivirus: la classe di antivirus o malware a cui appartiene l'artefatto. Ad esempio, trojan horse, worm, adware, ransomware, spyware e così via.

  • Famiglia di antivirus: la famiglia di antivirus o malware a cui appartiene l'artefatto. Ad esempio, valyria, darkside e così via. Per cercare altre istanze di questa famiglia, fare clic sull'icona di ricerca.

Panoramica dell'analisi
Le informazioni visualizzate sono ordinate per gravità e includono le seguenti proprietà:
  • Gravità: un punteggio compreso tra 0 e 100 della dannosità delle attività rilevate durante l'analisi dell'artefatto. Le icone aggiuntive indicano i sistemi operativi che possono eseguire l'elemento.
  • Tipo: tipi di attività rilevate durante l'analisi dell'artefatto. Questi tipi includono:
    • Avvio automatico: possibilità di eseguire il riavvio dopo l'arresto di una macchina.
    • Disabilita: possibilità di disabilitare i componenti critici del sistema.
    • Evasione: possibilità di evadere l'ambiente di analisi.
    • File: attività sospetta sul file system.
    • Memoria: attività sospetta all'interno della memoria di sistema.
    • Rete: attività sospetta a livello di rete.
    • Reputazione: origine nota o firmata da un'organizzazione attendibile.
    • Impostazioni: possibilità di modificare in modo permanente le impostazioni di sistema critiche.
    • Firma: identificazione del soggetto dannoso.
    • Furto: possibilità di utilizzare e perdere informazioni sensibili.
    • Mascheramento: capacità di passare inosservati.
    • Silenziamento: identificazione di un oggetto legittimo.
  • Descrizione: una descrizione corrispondente a ogni tipo di attività rilevata durante l'analisi dell'artefatto.
  • Tattiche ATT&CK: la fase MITRE ATT&CK o le fasi di un attacco. Più tattiche sono separate da virgole.
  • Tecniche ATT&CK: le azioni o gli strumenti osservati che potrebbero essere utilizzati da un utente malintenzionato. Più tecniche sono separate da virgole.
  • Link: per cercare altre istanze di questa attività, fare clic sull'icona di ricerca.
Artefatti aggiuntivi
Questa sezione include gli artefatti aggiuntivi (file e URL) che sono stati osservati durante l'analisi del campione inviato e che sono stati a loro volta inviati per un'analisi approfondita. Questa sezione include le seguenti proprietà:
  • Descrizione: descrive l'artefatto aggiuntivo.
  • SHA1: hash SHA1 dell'artefatto aggiuntivo.
  • Tipo di contenuto: il tipo MIME dell'artefatto aggiuntivo.
  • Punteggio: il punteggio di dannosità dell'artefatto aggiuntivo. Per visualizzare il report di analisi associato, fare clic su Icona per il report di analisi.
Argomenti della riga di comando decodificati
Se durante l'analisi sono stati eseguiti script di PowerShell, il sistema decodifica questi script rendendo i loro argomenti disponibili in una forma più leggibile.
Strumenti di terze parti
Collegamento a un report sull'artefatto nel portale di VirusTotal.