[イベント レポート] セクションには、サンプルの処理中に NSX Advanced Threat Prevention サービスが収集する追加のアーティファクトが表示されます。
これらのアーティファクトは、表示するレポートに含まれています。
パケット キャプチャ
サブジェクトによって生成されたネットワーク トラフィックの場合、このトラフィックが収集され、キャプチャされたトラフィック ウィジェットに表示されます。
抽出されたファイル
拡張されたアーカイブの場合は、コンテンツのリストが表示されます。各行には、MIME タイプ、タグ(分析のタイプを示す)、説明、ファイル名(アーカイブから使用可能な場合)、アーティファクトのスコアが表示されます。スコアは、アーティファクトが分析される場合にのみ提供されます。この場合、レポートへのリンクも提供されます。
アーカイブの解凍時に NSX Advanced Threat Prevention サービスでエラーが発生すると、エラー状態を示すアラートが表示されます。エラーには、ファイルの上限を超えた、深度の上限を超えた、子タスクの上限を超えた、などが含まれます。
生成されたファイル
分析中に、サンプルによってさまざまなファイルが生成されることがあります。これらのファイルは、PATH で並べ替えられたリストに表示されます。
- PATH:ファイル システム内のアーティファクトのパス。
- TYPE:判別されたファイル タイプ。リストをファイル タイプで並べ替えるには、[TYPE] をクリックします。
アイコンをクリックして行を展開します。MD5、SHA1、サイズ(バイト)、パケット、署名のデータが表示されます。すべてのフィールドのデータが利用できるとは限りません。
デコードされたコマンド ライン引数
悪意のある PowerShell スクリプトに対する引数は、多くの場合、エンコードまたは難読化されます。分析中にスクリプトが実行された場合、NSX Advanced Threat Prevention サービスはスクリプトをデコードし、引数をより人間が解読可能な形式で使用できるようにします。これらの引数は、分析のサブジェクトとデコードされたスクリプトを示すリストに表示されます。