NSX Network Detection and Response ユーザー インターフェイスの [分析レポート] ページの [概要] タブには、NSX Advanced Threat Prevention サービスによって分析されたファイルの分析結果のサマリが表示されます。

検出されたファイルをローカル マシンにダウンロードするには、画面の右側にある ファイルのダウンロード アイコン をクリックします。ドロップダウン メニューから [ファイルのダウンロード ] または [ZIP としてダウンロード] を選択します。

[ZIP としてダウンロード] を選択すると、[ファイルを ZIP としてダウンロード] ポップアップ ウィンドウが表示され、アーカイブ用のオプションのパスワードを入力するように求められます。[ダウンロード] をクリックして、ZIP ファイルのダウンロードを完了します。

重要:

NSX Network Detection and Response アプリケーションでは、特定の条件下でのみ、検出されたファイルをダウンロードできます。

アーティファクトが低リスクと見なされる場合、ファイルのダウンロード アイコン が表示され、ローカル マシンにダウンロードできます。

アーティファクトにリスクがあると見なされる場合は、ALLOW_RISKY_ARTIFACT_DOWNLOADS を使用できるライセンスでないかぎり、ファイルのダウンロード アイコン は表示されません。

アーティファクトを開くと悪影響が生じる可能性があることに注意してください。

NSX Network Detection and Response インターフェイスには、[警告:悪意のあるファイルをダウンロードしています] というポップアップ ウィンドウが表示されることがあります。[同意する] ボタンをクリックして条件に同意し、ファイルをダウンロードします。

悪意のあるアーティファクトの場合は、ファイルを ZIP アーカイブにカプセル化して、トラフィックをモニタリングしている他のソリューションが脅威を自動的に検査しないようにすることができます。

ALLOW_RISKY_ARTIFACT_DOWNLOADS 機能がないが、悪意のあるアーティファクトをダウンロードする手段が必要な場合は、VMware のサポートにお問い合わせください。

[分析の概要] セクション

注: ファイルの分析中に NSX Advanced Threat Prevention サービスでエラーが発生すると、強調表示されたブロックが表示されます。これには、発生したエラーのリストが含まれます。
この [分析の概要] セクションには、 NSX Advanced Threat Prevention サービスによって分析されたファイルまたは URL の分析結果のサマリが表示されます。このセクションには次のデータが表示されます。
  • MD5 – ファイルの MD5 ハッシュ。ネットワーク内でこのアーティファクトの他のインスタンスを検索するには、<検索アイコン> をクリックします。
  • SHA1 – ファイルの SHA1 ハッシュ。
  • SHA256 – ファイルの SHA256 ハッシュ。
  • MIME タイプ – ファイル内のデータ タイプを識別するために使用されるラベル。
  • 送信 – 送信タイムスタンプ

[脅威レベル] セクション

[脅威レベル] セクションは、分析結果のサマリで始まります (The file md5 hash was found to be malicious/benign.)。

続いて、次のデータが表示されます。
リスク評価
このセクションには、リスク評価の結果が表示されます。
  • 悪意スコア – 100 を上限としてスコアを設定します。
  • リスクの見積もり – このアーティファクトがもたらすリスクの見積もり。
    • 高 – このアーティファクトは重大なリスクを表し、高い優先度で対処する必要があります。このようなサブジェクトは通常、トロイの木馬などの攻撃を含むファイルやドキュメントで、感染したシステムに対する深刻な不正侵入につながります。リスクは、情報漏洩からシステムの機能不全に至るまで甚大な範囲に及びます。これらのリスクは、検出されたアクティビティのタイプから部分的に推測されます。通常、このカテゴリのスコアのしきい値は 70 を超過します。
    • 中 – このアーティファクトは長期的なリスクを表しており、注意深くモニターする必要があります。ドライブバイ攻撃につながる可能性のある、不審なコンテンツを含む Web ページがこれに当たります。また、アドウェアまたは偽のウイルス対策製品もこれに含まれ、緊急性のある深刻な脅威はないにしても、システムの機能に問題を引き起こす可能性があります。このカテゴリのスコアのしきい値は通常 30 ~ 70 です。
    • 低 – このアーティファクトは無害と見なされるため、無視してかまいません。通常、このカテゴリのスコアのしきい値は 30 未満です。
  • アンチウイルス クラス – アーティファクトが属するアンチウイルスまたはマルウェア クラス。たとえば、トロイの木馬、ワーム、アドウェア、ランサムウェア、スパイウェアなどです。

  • アンチウイルス ファミリ – アーティファクトが属するアンチウイルスまたはマルウェア ファミリ。たとえば、valyria、darkside などです。このファミリの他のインスタンスを検索するには、検索アイコンをクリックします。

分析の概要
表示される情報は重要度順に並べ替えられ、次のプロパティが含まれます。
  • 重要度 – アーティファクトの分析中に検出された、0 ~ 100 で表すアクティビティの悪意スコア。アーティファクトを実行できるオペレーティング システムが追加のアイコンで示されます。
  • タイプ – アーティファクトの分析中に検出されたアクティビティのタイプ。次のタイプが含まれます。
    • 自動起動 – マシンのシャットダウン後に再起動する機能。
    • 無効化 – システムの重要なコンポーネントを無効にする機能。
    • 回避 – 分析環境を回避する機能。
    • ファイル – ファイル システム上での不審なアクティビティ。
    • メモリ – システム メモリ内の不審なアクティビティ。
    • ネットワーク – ネットワーク レベルでの不審なアクティビティ。
    • レピュテーション – 既知のソースまたは信頼できる組織による署名。
    • 設定 – 重要なシステム設定を永続的に変更する機能。
    • シグネチャ – 悪意のあるサブジェクトの ID。
    • 窃盗 – 機密情報にアクセスし、場合によっては漏洩も行う能力。
    • ステルス – ユーザーに認識されないようにする能力。
    • サイレント - 無害な対象の識別。
  • 説明 – アーティファクトの分析中に検出された各タイプのアクティビティに対応する説明。
  • ATT&CK 手段 – 攻撃に対する MITRE ATT&CK のステージ。複数の戦術がある場合は、カンマで区切られます。
  • ATT&CK 方法 – 悪意のある攻撃者によるアクション、または彼らが使用すると思われるツール。複数の手法がある場合は、カンマで区切られます。
  • リンク – このアクティビティの他のインスタンスを検索するには、検索アイコンをクリックします。
追加のアーティファクト
このセクションでは、送信されたサンプルの分析中に確認され、詳細な分析のために送信された追加のアーティファクト(ファイルと URL)を一覧表示します。このセクションには、次のプロパティが含まれます。
  • 説明 – 追加のアーティファクトについて説明します。
  • SHA1 – 追加のアーティファクトの SHA1 ハッシュ。
  • コンテンツ タイプ – 追加のアーティファクトの MIME タイプ。
  • スコア - 追加のアーティファクトの悪意スコア。関連する分析レポートを表示するには、分析レポートのアイコン をクリックします。
デコードされたコマンド ライン引数
分析中に PowerShell スクリプトが実行された場合、システムはこれらのスクリプトをデコードし、引数をより人間が解読可能な形式で使用できるようにします。
サードパーティ製ツール
VirusTotal ポータルのアーティファクトに関するレポートへのリンク。