I rilevamenti, denominati anche eventi di rilevamento o eventi, rappresentano l'attività rilevante ai fini della sicurezza che si verifica nella rete e viene rilevata da NSX Network Detection and Response. I rilevamenti consentono di valutare e analizzare tutti gli eventi di minaccia indipendentemente dal tipo di evento nell'ambiente NSX.

Quando vengono ricevuti i dati di nuovi rilevamenti dal sistema NSX Network Detection and Response, i dati vengono confrontati con gli eventi di rilevamento esistenti per stabilire se il nuovo rilevamento può essere aggregato a un evento di rilevamento esistente. Per informazioni dettagliate sulle aggregazioni dei rilevamenti, vedere Aggregazione di rilevamenti.

Gli eventi di rilevamento possono essere correlati tra loro per creare una campagna. Se un evento di rilevamento non ha alcuna correlazione con gli altri rilevamenti, non verrà incluso in alcuna campagna.

Visualizzazione dell'elenco di eventi unificato

Per visualizzare tutti gli eventi di rilevamento generati da NSX Network Detection and Response, passare alla pagina Rilevamento delle minacce e risposta > Rilevamenti. Nella parte superiore della pagina è presente un istogramma seguito da un elenco. Questo elenco viene definito elenco di eventi unificato e include tutti gli eventi di rilevamento. Ogni riga nell'elenco rappresenta un evento di rilevamento.

Pagina Rilevamenti

  • Fare clic su Copia URL nella parte superiore destra della pagina per copiare l'indirizzo del collegamento con i filtri attualmente applicati.

Filtro dell'elenco di eventi unificato

È possibile filtrare l'elenco di eventi unificato con i metodi seguenti:
Metodo Dettagli
Caselle di controllo

Fare clic sulle caselle di controllo sopra l'istogramma per filtrare l'elenco di eventi unificato in base al punteggio dell'impatto del rilevamento.

Per ulteriori informazioni sui punteggi dell'impatto del rilevamento, vedere Informazioni sui punteggi dell'impatto del rilevamento.

Caselle di controllo dei livelli del punteggio dell'impatto.
Istogramma

Fare clic sulle barre dell'istogramma per filtrare l'elenco di eventi unificato in base alla tattica MITRE ATT&CK identificata nel rilevamento.

Istogramma dei rilevamenti ordinati in base alle tattiche MITRE ATT&CK.
Campo del filtro

Fare clic sul campo del filtro per visualizzare opzioni di filtro più efficaci:

  1. Dal menu a discesa, selezionare un criterio di filtro. I criteri disponibili sono:
    • Punteggio dell'impatto
    • Tipo
    • Tattica MITRE
    • Tecnica MITRE
    • Minaccia
    • Risultato dell'attacco
    • Carico di lavoro interessato
    • Campagne
    • Carico di lavoro interessato dall'IP

    Opzioni di filtro.

  2. Specificare se includere o escludere i risultati del criterio di filtro selezionato e quindi fare clic su Applica.

    Inclusione di opzioni di criteri di filtro specifici.

  3. Per combinare più filtri, è possibile:
    • Utilizzare la logica OR tra i criteri dello stesso filtro.
    • Utilizzare la logica AND tra i filtri.

Visualizzazione di un riepilogo di eventi di rilevamento

Espandere la riga del rilevamento e fare clic su Ulteriori dettagli per visualizzare il riepilogo del rilevamento.

Riepilogo rilevamento

Tipo di rilevamento

È possibile visualizzare l'icona del tipo di rilevamento nella colonna Tipo. Passare il puntatore del mouse per visualizzare il tipo di rilevamento.

Icona del tipo di rilevamento. Passare il puntatore del mouse per visualizzare il nome

Tipi di rilevamento e icone visualizzati nell'interfaccia utente di NDR

Esportazione e download dei file di acquisizione di pacchetti

Nella scheda Dati flusso del riepilogo del rilevamento, è possibile esportare e scaricare i file PCAP (acquisizione di pacchetti) acquisiti da NSX IDS/IPS. Per ulteriori dettagli sul PCAP, vedere Esportazione e download dei file di acquisizione di pacchetti.
Nota: Il file PCAP è disponibile per gli eventi E-W/IDS/IPS distribuiti e se i PCAP sono abilitati nel profilo IDS. Se il file PCAP non è disponibile, il collegamento non viene visualizzato. Inoltre, la versione di NSX e NSX Application Platform deve essere la 4.2 o successiva.

Panoramica sul comportamento del malware

La sezione Comportamento del malware include informazioni dall'analisi dinamica eseguita nell'istanza di software dannoso correlata all'evento.

Fare clic su Visualizza report per accedere a informazioni tecniche dettagliate sulle funzioni del malware, sul suo funzionamento e sul tipo di rischio che rappresenta. Per ulteriori dettagli sulle informazioni visualizzate, vedere Dettagli del report di analisi.

Nota: Se per l'evento non viene rilevato alcun software dannoso, questa sezione non viene visualizzata.