La scheda Panoramica della pagina Dettagli campagna include un riepilogo della campagna e un blueprint grafico interattivo.

Le seguenti informazioni descrivono le tre sezioni di questa scheda.

Minacce e host di una campagna

La sezione Minacce e host include i widget Minacce e Host.

Nel widget Minacce sono visualizzate le minacce correnti che l'applicazione NSX Network Detection and Response ha rilevato nella campagna selezionata. La gravità della minaccia è indicata dal codice colore: rosso per alta, giallo per media e blu per bassa. Se si posiziona il puntatore sul nome delle minacce elencate, in una finestra popup vengono visualizzati gli indirizzi IP degli host interessati. Fare clic su Visualizza dettagli minacce. Nella scheda Cronologia verranno visualizzate informazioni dettagliate sulla campagna.

Nel widget Host vengono visualizzati gli host interessati dalla campagna selezionata. La gravità della minaccia è indicata dal codice colore: rosso per alta, giallo per media e blu per bassa.

Posizionare il puntatore sull'indirizzo IP di un host interessato. In una finestra popup verranno visualizzati i nomi delle minacce che riguardano l'host. Fare clic su Visualizza dettagli host. Nella scheda Host verranno visualizzate informazioni dettagliate sugli host.

Fasi dell'attacco della campagna

Nel widget Fasi attacco vengono visualizzate le fasi dell'attacco. Quelle relative alla campagna corrente sono evidenziate. Posizionare il puntatore su un'attività evidenziata. In una finestra popup verranno visualizzate ulteriori informazioni sulla fase dell'attacco. Vedere Proprietà della campagna per informazioni dettagliate sulle fasi dell'attacco.

Blueprint campagna

Il widget Blueprint campagna fornisce una rappresentazione grafica interattiva della campagna. Vengono visualizzati gli host (interni ed esterni alla rete) coinvolti nella campagna, le minacce che li hanno coinvolti e le informazioni aggiuntive che completano la descrizione della campagna.

Di seguito è disponibile un esempio di grafico blueprint.
Un grafico delle intrusioni di esempio descritto dal contenuto circostante

Questo grafico blueprint mostra le seguenti attività.

  • Viene scaricato un file binario dannoso nel nodo host con etichetta 172.30.4.99. Questa attività è coerente con un utente sull'host che apre un messaggio di posta elettronica (ad esempio, visitando un URL o aprendo un allegato contenuto in tale messaggio di posta elettronica).

  • Il nodo host con etichetta 172.30.4.99 è connesso al nodo del nome host con l'etichetta kharkiv.biz.ua. Il report di analisi 3958ec33 indica che è stato effettuato un download dall'URL http://kharkiv.biz.ua/hPpD/. Il report di analisi mostra anche che ciò che viene scaricato è un file di applicazione eseguibile in formato PE, a 32 bit e Intel i386.

  • Il nodo host con etichetta 172.30.4.99 è connesso a Emotet command and control. Il server è la voce 75.112.62.42 bloccata.

  • Il nodo host con etichetta 172.30.4.99 è connesso al nodo host con l'etichetta 172.30.6.2 con un caricamento di dati sospetti e nei nodi host con etichette 172.30.5.200 e 172.30.5.200 con una pianificazione delle attività remote sospette, tutte le attività associate allo spostamento laterale.

  • Il nodo host con etichetta 172.30.6.2 è connesso al nodo host con l'etichetta 172.30.5.200 con una crittografia Kerberos sospetta, un'attività coerente con l'estrazione dei dati.

Chiave del nodo

Nel grafico blueprint possono essere visualizzati i seguenti tipi di nodi.

Icona

Tipo di nodo

Descrizione

icona analisi

Report di analisi

Questo tipo di nodo rappresenta i risultati della ricerca di un campione (file o URL) nella sandbox di NSX Network Detection and Response.

  • I nodi del report di analisi sono etichettati con una versione abbreviata dell'UUID dell'attività di analisi corrispondente.

  • L'intervallo di punteggio dell'esecuzione dell'analisi viene espresso utilizzando l'attributo con codifica a colori in alto a destra del nodo.
icona file scaricato

File scaricato

Questo tipo di nodo rappresenta un file scaricato nella rete.

  • I nodi del file scaricato sono etichettati con una versione abbreviata dell'hash SHA1 del file corrispondente.
icona host

Host

Questo tipo di nodo rappresenta un dispositivo di rete.

  • I nodi host sono etichettati con l'indirizzo IP dell'host corrispondente.

  • Il nodo dell'host indica se un host è interno o esterno. Gli host interni visualizzano un'icona icona home accanto al loro indirizzo IP. La determinazione del fatto che un host è interno si basa sulla configurazione degli intervalli IP privati.

  • L'impatto massimo degli eventi imprevisti relativi all'host corrispondente viene espresso utilizzando l'attributo con codifica a colori in alto a destra del nodo.
icona informazione

Informazioni

Questo tipo di nodo rappresenta il rilevamento di un'attività a livello di informazioni. Questo nodo viene visualizzato solo nel grafico blueprint dell'Analisi di rete.

  • Viene creato un evento informativo in presenza di attività o comportamenti non necessariamente dannosi, ma che forniscono informazioni aggiuntive e utili.

  • L'impatto massimo degli eventi rilevati per la minaccia corrispondente viene espresso utilizzando l'attributo con codifica contraddistinta dal colore in alto a destra del nodo.
icona minaccia

Minaccia

Questo tipo di nodo rappresenta un rilevamento.

  • I nodi delle minacce sono etichettati con il nome della minaccia associato all'evento rilevato.

  • L'impatto massimo degli eventi rilevati per la minaccia corrispondente viene espresso utilizzando l'attributo con codifica contraddistinta dal colore in alto a destra del nodo.

Informazioni sugli Edge

Le linee che connettono i nodi sono denominate Edge.

Un nodo host è connesso a una minaccia o a un report di analisi nodi con una linea punteggiata per indicare che l'host corrispondente al nodo host è stato esposto alla minaccia rappresentata dalla minaccia o dal nodo del report di analisi.

Altre connessioni sono rappresentate da una linea continua per esprimere che alcune attività (ad esempio, una connessione di rete, una ricerca DNS o una richiesta Web) mettono in relazione le entità corrispondenti a due nodi.

Interazione blueprint

Il grafico blueprint è interattivo: selezione dell'elemento di supporto, spostamento di nodi e zoom in verticale e in uscita.

È possibile selezionare il nodo e gli Edge facendo clic su di essi. Ulteriori informazioni sull'elemento selezionato si trovano nella barra laterale.

Passando il puntatore del mouse sui colori di un nodo, gli Edge che si connettono evidenziano l'interazione di tale nodo.

È possibile trascinare singoli nodi in nuove posizioni nel grafico. L'intero grafico può essere spostato in panoramica, cambiando efficacemente il punto di vista.

Il grafico può essere ingrandito e ridotto scorrendo la rotellina del mouse. A livelli di zoom più alti vengono mostrati ulteriori dettagli. In particolare, l'attributo utilizzato con diversi tipi di nodi per trasmettere le informazioni sull'impatto si arricchisce del punteggio d'impatto effettivo.

Barra laterale Campagna

La barra laterale Campagna viene utilizzata per visualizzare informazioni relative a uno o più elementi del grafico del blueprint. Per impostazione predefinita, è ridotta a icona.

  • Fare clic sull'icona Icona dettagli per visualizzare informazioni sul nodo o sull'Edge.

  • Fare clic sull'icona Icona link esterno per visualizzare strumenti di terze parti.

Per ridurre a icona la barra laterale, fare clic sull'icona Icona freccia a destra.

Informazioni sul nodo o sull'Edge

La scheda delle informazioni relative al nodo o all'Edge include informazioni aggiuntive su un nodo o un Edge selezionato nel grafico del blueprint. Per selezionare un nodo, fare clic sulla relativa icona nel grafico.

Tipo di nodo

Informazioni

Report di analisi

Ulteriori informazioni su un report di analisi.

Dettagli del report:

  • Report di analisi: visualizza l'UUID e il punteggio dell'attività. Fare clic sull'icona Icona a forma di catena per visualizzare il report di analisi in una nuova scheda del browser.

  • MD5: valore hash del file.

  • SHA1: valore hash del file.

  • Dimensioni: dimensioni del file in byte.

  • Categoria: categoria a cui appartiene il file analizzato.

  • Tipo: informazioni più dettagliate sul file.

Dettagli relativi alle visualizzazioni del campione analizzato:

  • Numero di download: numero di download del file analizzato.

  • Host: Indirizzo IP degli host che hanno scaricato il file analizzato.

  • URL: URL completo del file scaricato.

File scaricato

Ulteriori informazioni su un file scaricato

Dettagli file:

  • MD5: valore hash del file.

  • SHA1: valore hash del file.

  • Dimensioni: dimensioni del file in byte.

  • Categoria: categoria a cui appartiene il file analizzato.

  • Tipo: informazioni più dettagliate sul file.

Dettagli relativi alle visualizzazioni:

  • Numero di download: numero di download del file analizzato.

  • Host che hanno effettuato il download: indirizzo IP degli host che hanno scaricato il file analizzato.

  • URL: URL completo del file scaricato.

  • Report: visualizza lo stato del report, l'UUID dell'attività e il punteggio. Fare clic sull'icona Icona a forma di catena per visualizzare il report di analisi in una nuova scheda del browser.

Host

Ulteriori informazioni su un host.

Dettagli a livello di host:

  • Indirizzo IP: mappa geolocalizzata o icona della rete locale.

  • Nomi host: nome di dominio per l'host.

  • Servizi: tutti i servizi rilevati nell'host.

Eventi imprevisti che coinvolgono l'host:

  • Numero di eventi imprevisti: numero di tutti gli eventi imprevisti.

  • Impatto massimo: indica l'impatto massimo di tutti gli eventi imprevisti.

  • Minacce: elenco degli eventi rilevati.

Una nota indica se l'host è interno o esterno alla rete monitorata.

Richiesta HTTP

Ulteriori informazioni su una richiesta HTTP.

Dettagli URL:

  • URL download: URL presenti nella richiesta HTTP.

  • IP download: indirizzi IP risolti per la richiesta HTTP. Fare clic sull'icona Icona Analisi di rete per visualizzare l'indirizzo IP della richiesta in Analisi di rete.

Dettagli delle richieste

  • Numero di richieste: numero di volte per cui si è verificata la richiesta HTTP.

  • Host: indirizzo IP degli host che emetteno la richiesta HTTP.

  • Referer: valori dell'intestazione "referer" presenti nella richiesta HTTP.

  • Agenti utente: valori degli agenti utente presenti nella richiesta HTTP.

Minaccia

Ulteriori informazioni su una minaccia

Dettagli della minaccia:

  • Classe minaccia: nome della classe della minaccia rilevata. Ad esempio, command&control.

  • Minaccia: nome della minaccia rilevata. Ad esempio, Loki Bot.

  • Gravità: punteggio calcolato per la minaccia.

  • Informazioni: descrizione della minaccia rilevata

Quando si fa clic su un Edge, vengono visualizzate le seguenti informazioni sulla connessione:

  • Nodo di origine: origine della connessione. Può essere un nome di nodo, un indirizzo IP, un nome di dominio e così via.

  • Nodo di destinazione: destinazione della connessione. Può essere un nome di nodo, un indirizzo IP, un nome di dominio e così via.

In Nodo di origine e Nodo di destinazione sono specificate l'origine e la destinazione effettiva della connessione. Fare clic sull'icona Icona di espansione per espandere l'origine o la destinazione.

Strumenti di terze parti

La scheda degli strumenti di terze parti si collega a strumenti esterni che possono fornire informazioni aggiuntive su un'entità selezionata nel grafico. Gli strumenti al momento supportati sono DomainTools e VirusTotal.

Sono supportate le ricerche seguenti:

  • Se si seleziona un nodo host, è possibile cercare l'indirizzo IP corrispondente in DomainTools e VirusTotal.

  • Se si seleziona un nodo del nome host, è possibile cercare il nome di dominio corrispondente in DomainTools e VirusTotal.

  • Se si seleziona il nodo di un file scaricato, è possibile cercare l'hash corrispondente in VirusTotal.

  • Se si seleziona un nodo della richiesta HTTP, è possibile cercare il nome host della richiesta in DomainTools e VirusTotal.