La scheda Panoramica nella pagina Report di analisi dell'interfaccia utente di NSX Network Detection and Response fornisce un riepilogo dei risultati dell'analisi per il file analizzato dal servizio NSX Advanced Threat Prevention.
Per scaricare il file rilevato nella macchina locale, fare clic su sul lato destro della schermata. Dal menu a discesa, selezionare Scarica file o Scarica come ZIP.
Se si seleziona Scarica come ZIP, viene visualizzata la finestra popup Scarica file come Zip, che richiede di fornire una password facoltativa per l'archivio. Fare clic su Scarica per completare il download del file .ZIP.
L'applicazione NSX Network Detection and Response consente di scaricare i file rilevati solo in determinate condizioni.
Se l'artefatto è considerato a basso rischio, viene visualizzata l'icona ed è possibile scaricarlo nella macchina locale.
Se l'artefatto è considerato rischioso, l'icona non viene visualizzata a meno che la licenza non disponga della funzionalità ALLOW_RISKY_ARTIFACT_DOWNLOADS
.
È necessario tenere presente che l'artefatto può causare danni all'apertura.
Nell'interfaccia di NSX Network Detection and Response potrebbe essere visualizzata la finestra popup Avvertenza: download di file dannoso. Fare clic sul pulsante Accetto per accettare le condizioni e scaricare il file.
Per gli artefatti dannosi, è possibile che si desideri incapsulare il file in un archivio ZIP per impedire che altre soluzioni che monitorano il traffico ispezionino automaticamente la minaccia.
Se non si dispone della funzione ALLOW_RISKY_ARTIFACT_DOWNLOADS
e si richiede la possibilità di scaricare artefatti dannosi, contattare l'assistenza VMware.
Sezione Panoramica dell'analisi
- MD5: l'hash MD5 del file. Per cercare altre istanze di questo artefatto nella rete, fare clic su <icona di ricerca>.
- SHA1: l'hash SHA1 del file.
- SHA256: l'hash SHA256 del file.
- Tipo MIME: l'etichetta utilizzata per identificare il tipo di dati nel file.
- Invio: data e ora di invio
Sezione Livello di minaccia
La sezione Livello di minaccia inizia con un riepilogo dei risultati dell'analisi: L'hash md5 del file è stato rilevato come dannoso/non dannoso.
- Valutazione del rischio
-
In questa sezione vengono visualizzati i risultati della valutazione del rischio.
- Punteggio di dannosità: imposta un punteggio su 100.
- Stima del rischio: una stima del rischio posto da questo artefatto:
- Alto: questo artefatto rappresenta un rischio critico ed è necessario risolverlo con priorità. Questi oggetti sono in genere file o documenti Trojan che contengono exploit in grado di compromettere gravemente il sistema infetto. I rischi sono molteplici: dalla perdita di informazioni al malfunzionamento del sistema. Questi rischi vengono in parte dedotti dal tipo di attività rilevato. La soglia di punteggio per questa categoria è generalmente superiore a 70.
- Medio: questo artefatto rappresenta un rischio a lungo termine ed è necessario monitorarlo attentamente. Può essere una pagina Web con contenuto sospetto, che può causare tentativi inconsapevoli. Può anche essere un adware o un antivirus falso che non rappresenta una minaccia grave immediata ma può causare problemi di funzionamento del sistema. La soglia di punteggio per questa categoria è generalmente compresa tra 30 e 70.
- Basso: questo artefatto è considerato non dannoso e può essere ignorato. La soglia di punteggio per questa categoria è generalmente inferiore a 30.
-
Classe di antivirus: la classe di antivirus o malware a cui appartiene l'artefatto. Ad esempio, trojan horse, worm, adware, ransomware, spyware e così via.
-
Famiglia di antivirus: la famiglia di antivirus o malware a cui appartiene l'artefatto. Ad esempio, valyria, darkside e così via. Per cercare altre istanze di questa famiglia, fare clic sull'icona di ricerca.
- Panoramica dell'analisi
-
Le informazioni visualizzate sono ordinate per gravità e includono le seguenti proprietà:
- Gravità: un punteggio compreso tra 0 e 100 della dannosità delle attività rilevate durante l'analisi dell'artefatto. Le icone aggiuntive indicano i sistemi operativi che possono eseguire l'elemento.
- Tipo: tipi di attività rilevate durante l'analisi dell'artefatto. Questi tipi includono:
- Avvio automatico: possibilità di eseguire il riavvio dopo l'arresto di una macchina.
- Disabilita: possibilità di disabilitare i componenti critici del sistema.
- Evasione: possibilità di evadere l'ambiente di analisi.
- File: attività sospetta sul file system.
- Memoria: attività sospetta all'interno della memoria di sistema.
- Rete: attività sospetta a livello di rete.
- Reputazione: origine nota o firmata da un'organizzazione attendibile.
- Impostazioni: possibilità di modificare in modo permanente le impostazioni di sistema critiche.
- Firma: identificazione del soggetto dannoso.
- Furto: possibilità di utilizzare e perdere informazioni sensibili.
- Mascheramento: capacità di passare inosservati.
- Silenziamento: identificazione di un oggetto legittimo.
- Descrizione: una descrizione corrispondente a ogni tipo di attività rilevata durante l'analisi dell'artefatto.
- Tattiche ATT&CK: la fase MITRE ATT&CK o le fasi di un attacco. Più tattiche sono separate da virgole.
- Tecniche ATT&CK: le azioni o gli strumenti osservati che potrebbero essere utilizzati da un utente malintenzionato. Più tecniche sono separate da virgole.
- Link: per cercare altre istanze di questa attività, fare clic sull'icona di ricerca.
- Artefatti aggiuntivi
-
Questa sezione include gli artefatti aggiuntivi (file e URL) che sono stati osservati durante l'analisi del campione inviato e che sono stati a loro volta inviati per un'analisi approfondita. Questa sezione include le seguenti proprietà:
- Descrizione: descrive l'artefatto aggiuntivo.
- SHA1: hash SHA1 dell'artefatto aggiuntivo.
- Tipo di contenuto: il tipo MIME dell'artefatto aggiuntivo.
- Punteggio: il punteggio di dannosità dell'artefatto aggiuntivo. Per visualizzare il report di analisi associato, fare clic su .
- Argomenti della riga di comando decodificati
- Se durante l'analisi sono stati eseguiti script di PowerShell, il sistema decodifica questi script rendendo i loro argomenti disponibili in una forma più leggibile.
- Strumenti di terze parti
- Collegamento a un report sull'artefatto nel portale di VirusTotal.