[分析のサブジェクト] セクションには、NSX Advanced Threat Prevention サービスによって収集されたサンプルの実際のアクティビティが表示されます。
セクションには、分析対象の元のサブジェクトと、元のサブジェクトによって生成されたため、または元のサブジェクトがメモリを改ざんしたために分析環境によって追跡された追加のサブジェクトが含まれます。
注: これらのアクティビティのすべてが特定のサンプルに存在するわけではありません。
アイコンをクリックして、次の各セクションを展開します。
| セクション名 | 説明 |
|---|---|
| コンソール I/O | コンソール ハンドルに書き込まれたデータ(標準入力および標準出力ファイル記述子)。 |
| デコードされたコマンド ライン引数 | 悪意のある PowerShell スクリプトに対する引数は、多くの場合、エンコードまたは難読化されます。分析中にスクリプトが実行された場合、VMware バックエンドはそれをデコードし、引数をより人間が解読可能な形式で使用できるようにします。 |
| デバイス I/O |
実行時にサブジェクトによって試行された I/O 操作のデバイス I/O リスト。操作ごとに、ターゲット デバイスと制御コードが記録されます。 |
| ドライバ アクティビティ | 実行時にサブジェクトによってアクセスされるドライバのリスト。ロードとアンロードの操作が記録されます。 |
| 例外 | 実行時にサブジェクトによって実行されるスクリプトのリスト。各行には、名前、タイプ、およびインタープリタのエントリがあります。リストは任意の列で並べ替えることができます。 |
| 実行済みスクリプト | 実行時にサブジェクトによって実行されるスクリプトのリスト。各行には、名前、タイプ、およびインタープリタのエントリがあります。リストは任意の列で並べ替えることができます。 |
| ファイル システム アクティビティ | 実行時にサブジェクトによってアクセスされるファイルのリスト。読み取り、書き込み、名前変更、削除などの操作が記録されます。書き込みファイルの場合、ファイルの新しいサイズと MD5 ハッシュが記録されます。 |
| ライブラリ | 実行時にサブジェクトによってロードされたライブラリ ファイルのリスト。 |
| メモリの内容 | プログラム メモリに見つかった注目すべきデータ。システムは、分析中に IP アドレス、ドメイン、URL などを抽出します。 |
| 排他制御アクティビティ | 実行時にサブジェクトによってアクセスされる排他制御ロックのリスト。作成とオープンの操作が記録されます。 |
| ネットワーク アクティビティ | 実行時にサブジェクトに関連するネットワークの対話のリスト。記録されるカンバセーションのタイプは、FTP、HTTP、IRC、SMTP、およびその他のタイプの UDP/TCP プロトコルを介した通信です。DNS 要求とリモート ファイル ダウンロードも記録されます。 |
| プロセスの相互作用 | 実行時にサブジェクトによって試行されたプロセスの相互作用のリスト。プロセスの作成、スレッドの作成、メモリの読み取りと書き込みなどの操作が記録されます。 |
| レジストリ アクティビティ | 実行時にサブジェクトによってアクセスされるレジストリ キーと値のリスト。読み取り、書き込み、削除、およびモニタリングなどの操作が記録されます。 |
| サービス アクティビティ | 実行時にサブジェクトによってアクセスされるサービスのリスト。開始、停止、パラメータの変更などの操作が記録されます。 |
| ウィンドウ アクティビティ | 実行時にサブジェクトによって開いたウィンドウのリスト。 |
