[イベント プロファイル] ページには、[イベント サマリ] サイドバーの上部にある [詳細 
] ボタンからアクセスできます。
ビューの上部には、多数のコントロールとボタンがあります。
[類似イベント] をクリックすると、類似する機能のドロップダウン リストが表示されます。それぞれの横にある
アイコンをクリックして、[宛先]、[宛先ポート]、[送信元 IP]、[トランスポート プロトコル]、[脅威クラス]、[脅威タイプ] を選択します。次に、[イベントの表示 
] をクリックして、選択したイベントを新しいタブに表示します。[アラートを管理] をクリックすると、[アラートを管理] サイドバーが起動します。この機能を使用して、システムのテスト イベントやブロック イベントなどの無害なイベントを抑止または降格したり、特定のイベントにカスタム スコアを適用したりできます。詳細については、[アラートの管理] サイドバーを操作するを参照してください。
アイコンをクリックしてすべてのフィールドを折りたたむか、
アイコンをクリックしてすべてのフィールドを展開します。
イベントの概要
上部のセクションには、NSX Network Detection and Response アプリケーションが検出した脅威またはマルウェアの概要が視覚的に表示され、脅威クラスと脅威の影響スコアが表示されます。
イベント サマリ
[イベント サマリ] セクションは、NSX Network Detection and Response アプリケーションがこのイベントにフラグを付けた理由を示し、このイベントに関連する脅威またはマルウェアを特定し、検出されたアクティビティを簡単に説明し、サポート データを表示します。
[イベント サマリ] セクションの上部には、イベントの詳細な説明と、それが悪意があると見なされる理由が表示されます(NSX Advanced Threat Prevention クラウド サービスから利用可能な場合)。
サーバ ブロック
[サーバ ブロック] には、次のデータが表示されます。
データ |
説明 |
|---|---|
ホスト名 |
サーバの FQDN(分かっている場合)。 |
IP アドレス |
サーバの IP アドレス。地理的な位置を示すフラグが表示される場合があります。
|
MAC アドレス |
サーバの MAC アドレス(分かっている場合)。このアドレスは DHCP トラフィックのモニタリングから取得され、IP アドレスに関係なく、システムがネットワーク内の特定のホストにマッピングする一意の HostID エントリを生成するために使用するデータ ポイントの 1 つです。 |
アイコンが表示される場合、リンクをクリックすると、
アイコンをクリックすると、クライアントのレピュテーション タグが表示されます(利用可能な場合)。
アイコンをクリックすると、クライアント ブロック
[クライアント ブロック] には、次のデータが表示されます。
データ |
説明 |
|---|---|
ホスト名 |
クライアントの FQDN(分かっている場合)。 |
IP アドレス |
クライアントの IP アドレス。地理的な位置を示すフラグが表示される場合があります。アドレスまたは
|
MAC アドレス |
クライアントの MAC アドレス(分かっている場合)。このアドレスは DHCP トラフィックのモニタリングから取得され、IP アドレスに関係なく、システムがネットワーク内の特定のホストにマッピングする一意の HostID エントリを生成するために使用するデータ ポイントの 1 つです。 |
イベントのメタデータ
[イベント メタデータ] セクションには、次のデータが表示されます。
データ |
説明 |
|---|---|
検証結果 |
イベントの結果を示します。考えられる値は次のとおりです。
イベントの結果が不明な場合、このフィールドは表示されません。 |
検証ツール名 |
イベント検証ツールの名前。リンクをクリックすると、[検証ツールのドキュメント] ポップアップ ウィンドウにアクセスできます。 |
検証ツールのメッセージ |
どのサードパーティ製アプリケーションが脅威をブロックしたかなど、結果に関する詳細情報を示す検証者からのメッセージ。 |
センサー |
イベントを検出したセンサー。 |
接続 |
イベントに含まれる接続の数。 |
アクション |
センサーによって実行されたアクションのリスト(ブロック アクティビティ、イベントがログに記録されているかどうか、トラフィックがキャプチャされたかどうか、マルウェアのダウンロードが抽出されたかどうかなど)。 |
ログインしたユーザー |
記録されたレコードで検出されたユーザーのリスト。 |
結果 |
イベントの結果。ほとんどの場合、結果は DETECTION です。 [情報] イベント、および [情報] 状態から昇格したイベントについては、追加のラベルにその状態と状態変更の理由が示されます。ラベルの上にカーソルを置くとポップアップが表示され、理由に関する追加情報が表示されます。 |
関連インシデント |
相関インシデントへのパーマリンク。 このイベントは、インシデントに自動的に関連付けられた、密接に関連するイベントの 1 つである可能性があります。 |
イベント ID |
[ネットワーク イベントの詳細] ページにイベントが表示されます。リンクが新しいブラウザ タブで開きます。 |
開始時間 |
イベント開始のタイムスタンプ。 |
終了時間 |
イベント終了のタイムスタンプ。 |
キャプチャされたマルウェア
[キャプチャされたマルウェア] セクションには、イベントに関連する、悪意のあるソフトウェア インスタンスで実行された動的分析の情報が表示されます。
マルウェアの動作、仕組み、それがもたらすリスクについての詳細な技術情報にアクセスできます。表示される情報の詳細については、分析レポートを使用するを参照してください。
イベントに対して悪意のあるソフトウェアが検出されなかった場合、このセクションは表示されません。
イベントのエビデンス
[イベントのエビデンス] セクションには、イベントの分析中に確認されたアクションの詳細が表示されます。
アクションには、悪意のあるファイルのダウンロード、既知の脅威のネットワーク シグネチャに一致するネットワーク トラフィック、ブロックされたマルウェア ドメインのドメイン名解決、既知の不正な URL パスなどがあります。
[ディテクタ] リンクをクリックすると(利用可能な場合)、ディテクタのドキュメント ポップアップ ウィンドウが表示されます。詳細については、エビデンスについても参照してください。
ホストのレピュテーション
[ホストのレピュテーション] セクションには、イベントで検出した既知の悪意のあるホストまたは URL レピュテーション エントリに関する情報が表示されます。
ホストに既知の履歴がない場合、このセクションは表示されません。
アノマリ データ
このセクションには、アノマリ イベントが発生したネットフローまたはパッシブ DNS レコードが表示されます。
検出されたアノマリに応じて、[DNS アノマリ データ] または [Netflow アノマリ データ] というタイトルが付きます。
IP アドレスや、アノマリとして分類されたポートなどの追加情報が提供される場合があります。関係する項目が多い場合は、[
#] をクリックすると、すべての項目を表示できます。
イベントにアノマリが見つからなかった場合、このセクションは表示されません。
脅威の説明
[脅威の説明] セクションには、イベントに関連付けられている脅威の詳細な説明が表示されます。
軽減策
[軽減策] セクションには、悪意のあるソフトウェアを削除する詳細な手順と、イベント後にクリーンアップするためのその他の推奨プロセスが記載されています。
イベントに既知の軽減プロセスがない場合、このセクションは表示されません。
