Un evento imprevisto rappresenta un'attività rilevante ai fini della sicurezza che NSX Network Detection and Response ha rilevato essersi verificato nella rete monitorata. Un evento imprevisto può essere costituito da un singolo evento o da un numero di eventi automaticamente correlati e che sono stati determinati come strettamente correlati. L'elenco degli eventi imprevisti mostra gli eventi imprevisti registrati con i livelli di minaccia corrispondenti.
È possibile visualizzare tutti gli eventi imprevisti segnalati che sono stati considerati critici, quelli da tenere d'occhio o quelli considerati fattori nocivi nella rete. Gli eventi imprevisti critici devono essere gestiti senza indugio. Non riuscire a gestire gli eventi imprevisti critici è altamente rischioso e aumenta la probabilità che anche altri host della rete possano essere compromessi.
Gli eventi imprevisti non ancora esaminati vengono contrassegnati come non letti, mentre quelli già esaminati sono contrassegnati come letti. È possibile selezionare gli eventi imprevisti ed eseguire azioni su di essi, ad esempio contrassegnarli come letti o non letti. È inoltre possibile chiudere o aprire gli eventi imprevisti selezionati.
La casella di testo Ricerca rapida sopra l'elenco consente di eseguire una ricerca rapida al momento dell'immissione. Filtrare le righe dell'elenco, visualizzando solo le righe con testo, in qualsiasi campo, che corrisponde alla stringa di query.
Per una selezione più precisa, utilizzare il menu a discesa SELEZIONA. Le sue opzioni consentono di selezionare Tutti gli eventi imprevisti visibili o Cancella selezione. È inoltre possibile selezionare gli eventi imprevisti Letti (pagina corrente) o Non letti (pagina corrente). È inoltre possibile fare clic sull'icona Modifica nella riga del titolo per selezionare tutti i messaggi visibili.
Utilizzare il menu a discesa AZIONE per aggiornare gli eventi imprevisti selezionati: Segna come già letto, Segna come non letto, Chiudi o Apri.
Personalizzare il numero di righe da visualizzare. Il valore predefinito è 20 voci. Utilizzare le icone 
e 
per spostarsi tra più pagine.
Le colonne da visualizzare nell'elenco possono essere personalizzate facendo clic sull'icona Contenuto aggiuntivo.
Ogni riga è un riepilogo di un evento imprevisto. Per accedere ai dettagli dell'evento imprevisto, fare clic sull'icona Più (o in un punto qualsiasi della riga di una voce). Per selezionare una riga di messaggio, fare clic sull'icona Modifica.
L'elenco è ordinato in base all'Impatto e include le seguenti colonne.
Colonna |
Descrizione |
|---|---|
Host |
L'host interessato da questo evento imprevisto. Questa colonna visualizza l'indirizzo IP, il nome host o l'etichetta dell'host, in base al popup delle impostazioni di visualizzazione corrente. Fare clic sull'icona Fare clic sull'icona |
Eventi di rilevamento |
Numero di eventi che comprendono questo evento imprevisto. Questo è un collegamento che mostra un conteggio degli eventi e l'icona Fare clic sull'icona |
Inizia |
Ora di inizio dell'evento imprevisto. Fare clic sull'icona |
Fine |
Ora di fine dell'evento imprevisto. Fare clic sull'icona |
Minaccia |
Nome del rischio di sicurezza rilevato. Fare clic sull'icona |
Classe delle minacce |
Nome della classe di rischio di sicurezza rilevata. Fare clic sull'icona Ordina per ordinare l'elenco in base alla classe di minaccia. |
Impatto |
Il valore dell'impatto indica il livello critico della minaccia rilevata e varia da 1 a 100:
Se viene visualizzata l'icona Interrompi, significa che l'artefatto è stato bloccato. L'elenco è ordinato in base all'impatto decrescente (gli eventi imprevisti più critici nella parte superiore). Fare clic sull'icona |
per visualizzare la pagina 
per ordinare l'elenco in base alle informazioni dell'host.
per ordinare l'elenco in ordine crescente (gli eventi imprevisti meno critici in alto), quindi fare clic sull'icona 
per tornare al valore predefinito.Dettagli evento imprevisto
Quando si fa clic in un punto qualsiasi della riga di un evento imprevisto, la visualizzazione dei dettagli dell'evento imprevisto viene espansa all'interno di tale elenco.
Nella parte superiore dei dettagli dell'evento imprevisto sono presenti diversi pulsanti:
-
Fare clic sul pulsante
per chiudere l'evento imprevisto. -
Utilizzare il menu a discesa Azione per eseguire un'azione sull'evento imprevisto:
-
Se l'evento imprevisto non è stato ancora chiuso, selezionare Chiudi evento imprevisto
. In caso contrario, selezionare Apri evento imprevisto. -
Se l'evento imprevisto non è ancora stato letto, selezionare Segna come già letto. In caso contrario, selezionare Segna come non letto.
-
Selezionare Ignora minaccia. I dettagli della minaccia sono elencati nella voce di menu. La selezione di questa voce indica che la presenza di questa particolare minaccia nell'host non è rilevante. Pertanto, tutti gli eventi imprevisti in cui viene rilevata questa minaccia su questo host vengono chiusi automaticamente.
-
Selezionare Contrassegna host <host> come pulito. Il sistema contrassegna l'host coinvolto nell'evento imprevisto come pulito. Di conseguenza, tutti gli eventi imprevisti su tale host vengono chiusi.
-
-
Facendo clic su
Visualizza dettagli evento imprevisto visualizza, in una nuova scheda del browser, il contenuto della pagina Profilo evento imprevisto. -
Se si fa clic su Gestisci avviso, viene avviata la barra laterale Gestisci avviso. Utilizzare questa funzionalità per eliminare o abbassare di livello gli eventi non dannosi associati all'evento imprevisto specificato, ad esempio gli eventi imprevisti relativi al test del sistema o al blocco. Per ulteriori dettagli, vedere Utilizzo della barra laterale Gestisci avviso.
-
Fare clic su
Segna come già letto per contrassegnare l'evento imprevisto. Il pulsante consente di passare a Segna come non letto che consente di ripristinare lo stato di lettura.
Riepilogo evento imprevisto
La sezione superiore fornisce una panoramica visiva della minaccia rilevata e ne mostra il punteggio d'impatto.
Dettagli evento imprevisto
| Colonna | Descrizione |
|---|---|
| IP di origine | Indirizzo IP dell'origine dell'evento imprevisto. Fare clic sull'icona per visualizzare la pagina Attività per l'host. Fare clic sull'icona  per visualizzare l'origine nella pagina Analisi di rete. |
| Host di origine | Se disponibile, il FQDN dell'evento imprevisto. |
| Eventi | Numero di eventi che costituiscono questo evento imprevisto. |
| ID evento imprevisto | Un collegamento permanente alla pagina Profilo evento imprevisto. Il collegamento viene aperto in una nuova scheda/finestra del browser. |
| ID campagna | Un collegamento permanente alla pagina delle campagne. Il collegamento è aperto in una nuova scheda del browser. |
| Impatto | Il punteggio d'impatto applicato dal sistema a questo evento imprevisto. |
| Ora di inizio | La data e ora dell'inizio dell'evento imprevisto. |
| Ora di fine | La data e ora dell'ultimo evento imprevisto registrato. |
| Stato | Mostra se l'evento imprevisto è stato chiuso. |
Prova
Quando il widget Prova è espanso, viene visualizzato l'elenco degli eventi rilevati da NSX Network Detection and Response.
Le colonne da visualizzare nell'elenco possono essere personalizzate facendo clic sull'icona 
.
| Colonna | Descrizione |
|---|---|
| Prima visualizzazione | Data e ora della prima visualizzazione di questo evento. |
| Ultima visualizzazione | Data e ora dell'ultima visualizzazione di questo evento. |
| Minaccia | Nome del rischio di sicurezza rilevato. |
| Classe delle minacce | Nome della classe di rischio di sicurezza rilevata. |
| Impatto | Il punteggio d'impatto applicato a questo evento imprevisto. |
| Prova | La categoria di prove di questo evento imprevisto. Il titolo del blocco dei dettagli della prova deriva dal nome della categoria. |
| Oggetto | L'artefatto, in genere un file, che viene analizzato. |
| Riferimento | Un collegamento permanente alla pagina dell'evento. Il collegamento è aperto in una nuova scheda del browser. |
Dettagli prova
Fare clic sull'icona 
(o in un punto qualsiasi della riga di voce di un evento imprevisto) per visualizzare il blocco dei dettagli della prova.
Il titolo del blocco dei dettagli della prova deriva dal tipo di prova. Ad esempio, Prova di reputazione.
| Dati | Descrizione |
|---|---|
| Minaccia | Nome del rischio di sicurezza rilevato. |
| Classe delle minacce | Nome della classe di rischio di sicurezza rilevata. |
| Impatto | Il punteggio d'impatto applicato a questo evento imprevisto. |
| Rilevatore | Se presente, visualizza il modulo NSX Network Detection and Response che ha identificato la minaccia. Fare clic sul collegamento per visualizzare la finestra popup Rilevatore. Vedere Finestra popup della documentazione del Rilevatore. |
| Visualizza evento di rete | Un collegamento permanente alla pagina dell'evento. Il collegamento è aperto in una nuova scheda del browser. |
| Visualizza evento di rete | Un collegamento permanente alla pagina dell'evento. Il collegamento è aperto in una nuova scheda del browser. |
| Prima visualizzazione | Data e ora della prima visualizzazione di questo evento. |
| Ultima visualizzazione | Data e ora dell'ultima visualizzazione di questo evento. |
| Gravità | Una stima della criticità della minaccia rilevata. Ad esempio, una connessione a un server di comando e controllo è in genere considerata con gravità elevata perché la connessione è potenzialmente dannosa. |
| Fiducia | Indica la probabilità che la singola minaccia rilevata sia effettivamente dannosa. Poiché il sistema utilizza euristica avanzata per rilevare le minacce sconosciute, in alcuni casi, la minaccia rilevata può avere un valore di confidenza inferiore se il volume di informazioni disponibili per quella minaccia specifica è limitato. |
| Oggetto | Se presente, visualizza l'artefatto, in genere un file, che viene analizzato. |
Per altri dettagli, vedere Informazioni su Prova.
