NSX Network Detection and Response にあるフィルタリング メカニズムにより、目的とする特定のインシデント情報にフォーカスできます。フィルタの使用はオプションです。

手順

  1. [インシデント] ページで 展開アイコン をクリックして、[フィルタ] ウィジェットを展開します。
  2. [フィルタ オン] テキスト ボックス内の任意の場所をクリックし、ドロップダウン メニューで項目を選択します。
    以下の利用可能なフィルタから選択できます。表示される情報のフォーカスをさらに絞り込むには、複数のフィルタを組み合わせます。
    フィルタ名 説明
    [キャンペーン UUID]

    表示されるエントリを、キャンペーン UUID によって制限します。キャンペーン UUID は、7dabc0fc9b3f478a850e1089a923df3a などの 16 進数 32 文字の文字列です。

    または null 文字列を入力して、どのキャンペーンにも属さないレコードを選択します。

    [ホーム ネットワーク]

    表示されるエントリを、ホーム ネットワーク設定によって制限します。ドロップダウン メニューから [ホーム ネットワークのみ] または [未確認のネットワークのみ] を選択します。

    [ホスト IP]

    表示されるエントリを、特定の送信元 IP アドレス、IP アドレス範囲、または CIDR ブロックに制限します。値はテキスト ボックスに入力します。

    [ホスト名]

    表示されるエントリを、ホスト名によって制限します。完全なホスト名かラベルを指定する必要があります。

    [優先度]

    表示されるエントリを、優先度状態によって制限します。ドロップダウン メニューから [感染][ウォッチリスト]、または [迷惑行為] を選択します。

    [読み取り]

    表示されるエントリを、読み取り状態によって制限します。ドロップダウン メニューから [既読] または [未読] を選択します。

    [状態]

    表示されるエントリを、その状態によって制限します。ドロップダウン メニューから [クローズド] または [オープン] を選択します。

    [脅威]

    表示されるエントリを、特定の脅威によって制限します。ドロップダウン メニューから脅威を選択します。メニューには、脅威のカタログのリストがあらかじめ入力されています。

    メニューの上部にある検索機能を使用すると、脅威の名前がすばやく見つかります。

    [脅威クラス]

    表示されるエントリを、特定のクラスの脅威に制限します。ドロップダウン メニューから脅威クラスを選択します。メニューには、クラスのカタログがあらかじめ入力されています。その一部を以下に示します。メニューの上部にある検索機能を使用すると、クラス名がすばやく見つかります。

    • [アドウェア]:感染したコンピュータに広告を表示するかダウンロードするマルウェア。
    • [クリック詐欺]:クリック詐欺のターゲットは、クリック課金型オンライン広告です。
    • [コマンドとコントロール]:感染したマシンはボットネットに属しており、攻撃者がリモートで制御可能です。
    • [ドライブバイ]:攻撃者は、マシンの脆弱性を悪用し、ターゲット システムでさらなるマルウェアのインストールをしようとします。
    • [エクスプロイト ツールキット]:ドライブバイ ダウンロード攻撃をしようとしたエクスプロイト ツールキットを検出します。
    • [偽アンチウイルス]:偽アンチウイルス ソフトウェアなど、ユーザーをだましたりミスリードしたりするよう設計されている類の不正なセキュリティ ソフトウェア。

    • [非アクティブ C&C]:この特定のボットネットのコマンドとコントロール サーバは非アクティブです。
    • [VMware ブロック テスト]:ドメイン block.lastline.com が、このクラスに属しているネットワーク接続のブロックおよび選択されたイベントをテストするために使用されます。
    • [VMware テスト]:ドメイン test.lastline.com が、このクラスに属しているセットアップの機能および選択されたイベントをテストするために使用されます。
    • [悪意のあるファイル ダウンロード、マルウェア配布、マルウェア ダウンロード]:悪意のある実行可能ファイルをホストする IP アドレスまたはドメイン。
    • [シンクホール]:シンクホールは正当な組織によって操作されるため、脅威とはなりません。ただし、そのようなホストに接続しようとするホストが感染している可能性があります。
    • [スパイウェア]:機密情報を盗もうとするマルウェア。
    • [不審な DNS]:不審な DNS ドメインは、感染したマシンで実行されているマルウェアによって接続されるドメインです。VMware 独自の手法では、このようなドメインを悪意のあるドメインとしてプロアクティブに識別することができます。
    • [不明]:不明なセキュリティ リスクが検出されました。
  3. 選択したフィルタを適用するには、[適用] をクリックします。
  4. (オプション) フィルタを個別に削除するには、エントリの横にある [削除 –] ボタンをクリックします。選択したフィルタをすべて削除するには、[フィルタ] ウィジェットの右側にある 閉じるアイコン アイコンをクリックします。
    選択したフィルタをすべて削除すると、 [フィルタ] ウィジェットが折りたたまれます。