Le minacce rilevate da NSX Network Detection and Response sono rappresentate dalle schede Minacce nella scheda Profilo host.
Una scheda minacce mostra il punteggio calcolato per le minacce, il nome e la classe della minaccia, il risultato del rilevamento (se disponibile), lo stato della minaccia e altre azioni. Se disponibile, viene mostrata la campagna a cui questa minaccia è connessa. Espandere la scheda per visualizzarne la prova correlata.
Utilizzare il menu a discesa Ordina per per ordinare le schede delle minacce. È possibile scegliere tra Più recente, Più vecchio, Impatto maggiore (impostazione predefinita) e Impatto minore.
La casella di testo Cerca minacce offre una ricerca rapida durante l'immissione. Filtra le righe dell'elenco, visualizzando solo le righe con testo, in qualsiasi campo, che corrisponde alla stringa di query fornita.
Attivare o disattivare il pulsante Mostra minacce chiuse per filtrare le schede delle minacce visualizzate in base allo stato della minaccia. L'impostazione predefinita è quella di mostrare tutte le minacce.
Gestione delle Schede minacce
Le Schede minacce mostrano tutte le minacce associate all'host selezionato e i livelli di minaccia corrispondenti. In ciascuna scheda vengono visualizzati l'impatto calcolato delle minacce, il nome e la classe delle minacce e, se disponibile, il risultato del rilevamento. Mostra anche lo stato della minaccia: Aperta o Chiusa.
Fare clic su Passi successivi e selezionare un'azione dal menu a discesa.
Selezionare Chiudi per chiudere la minaccia. Selezionare Apri per riaprire una minaccia chiusa.
Selezionare Gestisci avviso per creare una regola di gestione avvisi corrispondente alla minaccia.
La sezione Riepilogo provacontiene una panoramica della prova e degli altri dati rilevati per la minaccia. Fare clic su 
o quasi ovunque nella scheda per espandere Dettagli prova.
Se i dati della campagna connessi a questa minaccia sono disponibili, viene visualizzato Campagna con un collegamento alla barra laterale Riepilogo campagna.
Dettagli prova
La colonna Prova visualizza i download dei file, le firme e altre categorie di tipi di prove insieme a data e ora di quando la prova è stata visualizzata. Quando si fa clic sul collegamento del tipo di prova, sul lato destro della pagina viene visualizzata la barra laterale corrispondente Riepilogo prova per tale tipo. La barra laterale Riepilogo provaè disponibile per i seguenti tipi di prova.
Anomalia
Download del file
Firma
Nella colonna Interazioni di rete e IOC di rete viene visualizzato l'indirizzo IP o il nome di dominio degli host esterni. Facendo clic sul collegamento, la barra laterale Interazione di rete si espande.
La colonna Dati a supporto fornisce un collegamento agli eventi di rilevamento e un collegamento ai dettagli delle minacce.
Risultati del rilevamento
I risultati dell'evento di rilevamento delle minacce hanno i seguenti valori possibili, elencati in ordine di gravità.
Risultato rilevamento |
Descrizione |
|---|---|
Riuscito |
L'obiettivo per la minaccia è stato verificato. Questo potrebbe essere il tentativo di check-in del server C&C completato e i dati sono stati ricevuti dall'endpoint dannoso. |
Non riuscita |
La minaccia non è riuscita a raggiungere l'obiettivo. Ciò può essere causato dal fatto che il server C&C è offline, l'autore dell'attacco ha apportato errori di codifica e così via. |
Bloccato |
La minaccia è stata bloccata dall'applicazione NSX Network Detection and Response o da un'applicazione di terze parti. |
Se il risultato dell'evento è sconosciuto, questo campo non viene visualizzato.
Barra laterale d'Interazione di rete
È possibile espandere la barra laterale d'Interazione di rete facendo clic sul collegamento dell'indirizzo IP o del nome di dominio per un host specifico nella colonna Interazione di rete e IOC di rete della scheda Minacce.
L'impatto e l'indirizzo IP dell'host selezionato vengono visualizzati nella parte superiore della barra laterale.
Riepilogo WHOIS
La sezione Riepilogo WHOIS visualizza i campi principali del record WHOIS per l'indirizzo IP o il nome di dominio selezionato. Fare clic sull'icona 
per accedere alla finestra pop-up WHOIS per ulteriori dettagli sull'indirizzo IP o il dominio. Per dettagli, consultare Finestra popup WHOIS.
Apri in
La sezione Apri in… contiene collegamenti a provider di terze parti come DomainTools, VirusTotal, Google e altri. Se sono presenti più provider di quelli visualizzabili nella vista, è possibile fare clic su Espandi 
per visualizzarli.
Barra laterale Riepilogo prova anomalia
La barra laterale Riepilogo prova per un tipo di anomalia viene visualizzato quando si fa clic su un collegamento di prova anomalia nella colonna Prova della scheda Minacce.
Fare clic su Evento di riferimento per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.
Viene fornita una breve descrizione delle prove.
Dettagli delle minacce
- Minaccia: nome del rischio di sicurezza rilevato.
- Classe di minaccia: nome della classe di rischio di sicurezza rilevata.
- Prima visualizzazione
Ultima visualizzazione: un grafico con la data e l'ora della prima e dell'ultima visualizzazione. La durata viene visualizzata sotto il grafico.
Riepilogo rilevatore
per visualizzare la finestra pop-up
Rilevatore. Per dettagli, consultare
Finestra popup della documentazione del Rilevatore.
- Nome del rilevatore: il nome del rilevatore.
- Obiettivo: breve descrizione dello scopo del rilevatore.
- Categorizzazione ATT &CK: se applicabile, viene fornito un collegamento alla tecnica MITRE ATT&CK. In caso contrario, viene visualizzato N/D (N/A).
Dettagli anomalia
| Dettaglio | Descrizione |
|---|---|
| Descrizione | Breve descrizione dell'anomalia che spiega in che modo si discosta dal comportamento della base di confronto o perché dev'essere considerata sospetta. |
| Tipo di stato | Tipo di anomalia. Per esempio, Outlier. |
| Anomalia | Elemento anomalo visualizzato nell'host. Ad esempio, l'accesso a una porta inusuale. |
| Elementi base di confronto | Gli elementi che in genere sono visualizzati in questo host. |
| Profilo creato alle | Data e ora per la creazione della base di confronto. |
| Profilo aggiornato alle | Data e ora in cui è stata rilevata l'anomalia. |
| Diagramma Outlier | Il diagramma illustra il normale caricamento/scaricamento dati per l'host per il confronto con il trasferimento di dati contrassegnato come anomalo. I seguenti dati potrebbero essere visualizzati, in base al rilevatore
|
Barra laterale Riepilogo prova di download del file
La barra laterale Riepilogo provaper un tipo di prova di download del file viene visualizzato quando si fa clic su un collegamento nella colonna Prova della scheda Minacce.
Fare clic su Evento di riferimento per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.
Viene fornita una breve descrizione delle prove.
Dettagli del file
- Tipo di file: il tipo di alto livello del file scaricato. Per l'elenco dei tipi di file, vedere Scheda univoca.
- Attendibilità: indica la probabilità che il file scaricato sia dannoso. Poiché il sistema utilizza l'esadecimale avanzata per rilevare minacce sconosciute, in alcuni casi la minaccia rilevata potrebbe avere un valore di attendibilità minore se il volume di informazioni disponibili per tale minaccia specifica è limitato.
- SHA1: hash SHA1 del file.
Identificazione malware
per visualizzare il report di analisi. Per ulteriori dettagli, vedere
Utilizzo del Report di analisi.
- Classe antivirus: un'etichetta che definisce la classe antivirus del file scaricato.
- Famiglia antivirus: un'etichetta che definisce la famiglia di antivirus del file scaricato.
- Malware: un'etichetta che definisce il tipo di malware del file scaricato. Se l'etichetta ha l'icona
, fare clic sull'icona per visualizzare la descrizione in una finestra pop-up. - Panoramica del comportamento: i comportamenti rilevati del file scaricato. Se sono presenti molti dati, per impostazione predefinita viene visualizzato un elenco parziale. Fare clic su Espandi
per visualizzare ulteriori informazioni. Per visualizzare nuovamente l'elenco parziale, fare clic su Comprimi 
.
Apri in...
Per aprire il file scaricato in un servizio specifico, fare clic su una delle icone per i provider. Per impostazione predefinita, un elenco parziale di provider viene visualizzato.
Dettagli download
per visualizzare il report di analisi. Per ulteriori dettagli, vedere
Utilizzo del Report di analisi.
| Informazioni | Descrizione |
|---|---|
| Nome file | Percorso della risorsa del file scaricato. |
| URL | URL completo del file scaricato. |
| Prima visualizzazione | Data e ora della prima visualizzazione del file scaricato. Se sono presenti più istanze di questo file, sarà un intervallo di data e ora. |
| Scaricato da | Indirizzo IP del server di origine. |
| Protocollo | Il protocollo utilizzato per trasferire il file scaricato dal server di origine. |
| Agente utente | Se disponibile, la stringa dell'agente utente visualizzata per la richiesta di download. |
Barra laterale Riepilogo prova di firma
La barra laterale Riepilogo prova per un tipo di prova di firma viene visualizzato quando si fa clic su un collegamento di prova di firma nella colonna della scheda Minacce.
Fare clic su Evento di riferimento per accedere alla pagina Profilo evento e ai dettagli completi dell'evento associato.
Viene fornita una breve descrizione delle prove.
Dettagli delle minacce
Vengono forniti i dettagli seguenti relativi alla minaccia.
Dettaglio |
Descrizione |
|---|---|
Minaccia |
Nome del rischio di sicurezza rilevato. |
Classe delle minacce |
Nome della classe di rischio di sicurezza rilevata. |
Attività |
Se disponibile, mostra l'attività corrente della minaccia rilevata. |
Fiducia |
Indica la probabilità che la minaccia rilevata sia dannosa. Per gli eventi che mostrano risultati di analisi, ad esempio un download di file, viene visualizzato un punteggio. |
Prima visualizzazione Ultima visualizzazione |
Un grafico con la data e l'ora della prima e dell'ultima visualizzazione. La durata viene visualizzata sotto il grafico. |
Dettagli traffico
Il widget Traffico eventi di riferimento fornisce una panoramica del traffico osservato tra gli host coinvolti nell'evento a cui si fa riferimento. Almeno un host coinvolto nell'evento è un host monitorato. L'host che comunica potrebbe essere un host monitorato o un sistema esterno.
La freccia indica la direzione del traffico tra gli host.
Viene visualizzato l'indirizzo IP di ciascun host. Se l'host è locale, l'indirizzo è un collegamento su cui è possibile fare clic per visualizzare la pagina Profilo host. È possibile che vengano visualizzati un contrassegno di posizione geografica, 
, o un'icona 
. È possibile visualizzarne più di uno. Se disponibile, viene visualizzato un nome host. Vengono visualizzati tutti i tag dell'host applicati all'host. Se disponibile, fare clic sull'icona 
per visualizzare i dettagli dell'host nella finestra pop-up WHOIS. Per dettagli, consultare Finestra popup WHOIS.
Riepilogo rilevatore
Viene visualizzato un riepilogo del rilevatore. Per ulteriori dettagli, fare clic sul collegamento Altri dettagli per visualizzare la finestra pop-up Rilevatore. Per dettagli, consultare Finestra popup della documentazione del Rilevatore.
Nome del rilevatore: il nome del rilevatore.
Obiettivo: breve descrizione dello scopo del rilevatore.
Regola IDS: fare clic sul collegamento Visualizza regola (se disponibile) per visualizzare la finestra popup Rilevatore. Per dettagli, consultare Finestra popup della documentazione del Rilevatore. Può contenere una regola IDS.
