ダウンロードされたファイルの詳細ビューは、[ダウンロードされたファイル] リスト内で展開されます。
[ダウンロードされたファイル] ページで選択したタブに応じて、使用可能な次の詳細のサブセットが表示されます。
詳細情報の名前 |
説明 |
---|---|
分析レポート |
リンクまたは アイコンをクリックすると、分析レポートが新しいタブに表示されます。 |
ファイル タイプ |
ダウンロードされたファイルの上位レベルのタイプ。ファイル タイプのリストについては、一定期間にダウンロードされたファイルを参照してください。 |
ファイル タイプの詳細 |
ファイル タイプに関するさらに詳しい情報(利用可能な場合)。たとえば、 |
ファイル名 |
ファイルの名前(分かっている場合)。 |
ダウンロード済み |
特定のダウンロードについて、ファイルがネットワーク内のホストによってダウンロードされた回数。 数字または アイコンをクリックすると、ダウンロード ページにファイルのダウンロードが表示されます。このリンクは、この特定のファイルのダウンロードの閲覧を制限するアナリスト UUID フィルタをパスしています。 |
ダウンロード実行者 |
ファイルをダウンロードしたネットワーク内のホストの IP アドレス。 をクリックすると、WHOIS ポップアップ ウィンドウの登録情報とそのホストに関するその他のデータが表示されます(利用可能な場合)。 |
URL |
ファイル ダウンロードの URL。これは、UTF-8 でエンコードされた Unicode 文字列です。 |
URL |
ファイル ダウンロードの Raw URL。URL に ASCII 以外の文字がある場合、それらの文字とバックスラッシュ文字自体はバックスラッシュでエンコードされます。 |
プロトコル |
ファイルのダウンロードに使用されるネットワーク プロトコル。HTTP/HTTPS、FTP、または SMB のいずれか。 |
ダウンロード元 |
接続されたホストの IP アドレス。 をクリックすると、WHOIS ポップアップ ウィンドウの登録情報とそのホストに関するその他のデータが表示されます(利用可能な場合)。 |
HTTP ホスト |
接続されたホストのドメイン名(分かっている場合)。この名前は、IP アドレスを含む他のデータから取得される場合があります。 をクリックすると、WHOIS ポップアップ ウィンドウの登録情報とそのホストに関するその他のデータが表示されます(利用可能な場合)。 |
ユーザー エージェント |
HTTP/HTTPS 要求から抽出されたユーザー エージェント文字列。 |
最初のダウンロード |
一意のダウンロードの場合、ファイルのダウンロードを最初に検出した記録のタイムスタンプ。 |
前回のダウンロード |
一意のダウンロードの場合、ファイルのダウンロードを最も最近検出した記録のタイムスタンプ。 |
タイムスタンプ |
ファイルのダウンロードを検出したときのタイムスタンプ。 |
ファイル サイズ |
ファイルのサイズ(バイト単位)。 |
MD5 |
ダウンロードしたファイルの MD5 ハッシュ。 |
SHA 1 |
ダウンロードしたファイルの SHA1 ハッシュ。 |
送信状態 |
ダウンロードされたファイルが完全な分析のために送信されなかった理由を示します。通常、これは事前フィルタなどが理由です。 アイコンの上にマウス ポインタを置くと、ポップアップが開き、詳細が表示されます。 |
アナリスト UUID |
ダウンロードされたファイルの処理後に NSX Advanced Threat Prevention サービスから返される一意の識別子。 |
イベント ID |
ファイルのダウンロードに関連するイベントへのリンク。ID または をクリックして、イベントを表示します。詳細については検出イベントを参照してください。 |
分析の概要
[分析の概要] セクションには、NSX Advanced Threat Prevention サービスによってダウンロードされたファイルの分析結果のサマリが表示されます。
分析レポート全体を新しいタブで開くには、 をクリックします。分析レポートを使用する を参照してください。
検出されたファイルをローカル マシンにダウンロードするには、画面の右側にある をクリックします。ドロップダウン メニューから [ファイルのダウンロード ] または [ZIP としてダウンロード] を選択します。
[ZIP としてダウンロード] を選択すると、[ファイルを ZIP としてダウンロード] ポップアップ ウィンドウが表示され、アーカイブ用のオプションのパスワードを入力するように求められます。[ダウンロード] をクリックして、ZIP ファイルのダウンロードを完了します。
NSX Network Detection and Response アプリケーションでは、特定の条件下でのみ、検出されたファイルをダウンロードできます。
アーティファクトが低リスクと見なされる場合、 が表示され、ローカル マシンにダウンロードできます。
アーティファクトにリスクがあると見なされる場合は、ALLOW_RISKY_ARTIFACT_DOWNLOADS
を使用できるライセンスでないかぎり、 は表示されません。
アーティファクトを開くと悪影響が生じる可能性があることに注意してください。
NSX Network Detection and Response インターフェイスには、[警告:悪意のあるファイルをダウンロードしています] というポップアップ ウィンドウが表示されることがあります。[同意する] ボタンをクリックして条件に同意し、ファイルをダウンロードします。
悪意のあるアーティファクトの場合は、ファイルを ZIP アーカイブにカプセル化して、トラフィックをモニタリングしている他のソリューションが脅威を自動的に検査しないようにすることができます。
ALLOW_RISKY_ARTIFACT_DOWNLOADS
機能がないが、悪意のあるアーティファクトをダウンロードする手段が必要な場合は、VMware のサポートにお問い合わせください。
タブのセクションを展開するには をクリックし、折りたたむには をクリックします。
- MD5 – ファイルの MD5 ハッシュ。ネットワーク内でこのアーティファクトの他のインスタンスを検索するには、<検索アイコン> をクリックします。
- SHA1 – ファイルの SHA1 ハッシュ。
- SHA256 – ファイルの SHA256 ハッシュ。
- MIME タイプ – ファイル内のデータ タイプを識別するために使用されるラベル。
- 送信 – 送信タイムスタンプ
[脅威レベル] セクションは、分析結果のサマリで始まります (The file md5 hash was found to be malicious/benign.)。
- リスク評価
-
このセクションには、リスク評価の結果が表示されます。
- 悪意スコア – 100 を上限としてスコアを設定します。
- リスクの見積もり – このアーティファクトがもたらすリスクの見積もり。
- 高 – このアーティファクトは重大なリスクを表し、高い優先度で対処する必要があります。このようなサブジェクトは通常、トロイの木馬などの攻撃を含むファイルやドキュメントで、感染したシステムに対する深刻な不正侵入につながります。リスクは、情報漏洩からシステムの機能不全に至るまで甚大な範囲に及びます。これらのリスクは、検出されたアクティビティのタイプから部分的に推測されます。通常、このカテゴリのスコアのしきい値は 70 を超過します。
- 中 – このアーティファクトは長期的なリスクを表しており、注意深くモニターする必要があります。ドライブバイ攻撃につながる可能性のある、不審なコンテンツを含む Web ページがこれに当たります。また、アドウェアまたは偽のウイルス対策製品もこれに含まれ、緊急性のある深刻な脅威はないにしても、システムの機能に問題を引き起こす可能性があります。このカテゴリのスコアのしきい値は通常 30 ~ 70 です。
- 低 – このアーティファクトは無害と見なされるため、無視してかまいません。通常、このカテゴリのスコアのしきい値は 30 未満です。
-
アンチウイルス クラス – アーティファクトが属するアンチウイルスまたはマルウェア クラス。たとえば、トロイの木馬、ワーム、アドウェア、ランサムウェア、スパイウェアなどです。
-
アンチウイルス ファミリ – アーティファクトが属するアンチウイルスまたはマルウェア ファミリ。たとえば、valyria、darkside などです。このファミリの他のインスタンスを検索するには、検索アイコンをクリックします。
- 分析の概要
-
表示される情報は重要度順に並べ替えられ、次のプロパティが含まれます。
- 重要度 – アーティファクトの分析中に検出された、0 ~ 100 で表すアクティビティの悪意スコア。アーティファクトを実行できるオペレーティング システムが追加のアイコンで示されます。
- タイプ – アーティファクトの分析中に検出されたアクティビティのタイプ。次のタイプが含まれます。
- 自動起動 – マシンのシャットダウン後に再起動する機能。
- 無効化 – システムの重要なコンポーネントを無効にする機能。
- 回避 – 分析環境を回避する機能。
- ファイル – ファイル システム上での不審なアクティビティ。
- メモリ – システム メモリ内の不審なアクティビティ。
- ネットワーク – ネットワーク レベルでの不審なアクティビティ。
- レピュテーション – 既知のソースまたは信頼できる組織による署名。
- 設定 – 重要なシステム設定を永続的に変更する機能。
- シグネチャ – 悪意のあるサブジェクトの ID。
- 窃盗 – 機密情報にアクセスし、場合によっては漏洩も行う能力。
- ステルス – ユーザーに認識されないようにする能力。
- サイレント - 無害な対象の識別。
- 説明 – アーティファクトの分析中に検出された各タイプのアクティビティに対応する説明。
- ATT&CK 手段 – 攻撃に対する MITRE ATT&CK のステージ。複数の戦術がある場合は、カンマで区切られます。
- ATT&CK 方法 – 悪意のある攻撃者によるアクション、または彼らが使用すると思われるツール。複数の手法がある場合は、カンマで区切られます。
- リンク – このアクティビティの他のインスタンスを検索するには、検索アイコンをクリックします。
- 追加のアーティファクト
-
このセクションでは、送信されたサンプルの分析中に確認され、詳細な分析のために送信された追加のアーティファクト(ファイルと URL)を一覧表示します。このセクションには、次のプロパティが含まれます。
- 説明 – 追加のアーティファクトについて説明します。
- SHA1 – 追加のアーティファクトの SHA1 ハッシュ。
- コンテンツ タイプ – 追加のアーティファクトの MIME タイプ。
- スコア - 追加のアーティファクトの悪意スコア。関連する分析レポートを表示するには、 をクリックします。
- デコードされたコマンド ライン引数
- 分析中に PowerShell スクリプトが実行された場合、システムはこれらのスクリプトをデコードし、引数をより人間が解読可能な形式で使用できるようにします。
- サードパーティ製ツール
- VirusTotal ポータルのアーティファクトに関するレポートへのリンク。