NSX Network Detection and Response ユーザー インターフェイスの [キャンペーンの詳細] ページにある [エビデンス] タブには、現在選択されているキャンペーンで検出されたエビデンスのリストが表示されます。
各行は、キャンペーンのエビデンスのサマリです。
(またはエントリ行の任意の場所)をクリックして行を展開すると、シグネチャのエビデンス情報が表示されます。
エビデンス リストには、次の列が含まれています。
[エビデンス] の列 |
説明 |
|---|---|
IP アドレス |
脅威のソースであるホストの IP アドレス。 |
最初の検出 |
キャンペーンの開始時刻を示すタイムスタンプ。 |
最後の検出 |
キャンペーンの最新アクティビティを示すタイムスタンプ。 |
脅威 |
検出されたセキュリティ リスクの名前。 |
脅威クラス |
検出されたセキュリティ リスク クラスの名前。 |
影響 |
影響の値は、検出された脅威の重大度を 1 ~ 100 の範囲で示します。
|
エビデンス |
キャンペーンのエビデンスの派生値。詳細については、エビデンスについてを参照してください。 |
サブジェクト |
キャンペーンの追加情報。これは、IP アドレス、HTTP 応答コード、またはその他のデータである場合があります。 |
リファレンス |
リンクをクリックすると、[ネットワーク イベントの詳細] ページにアクセスします。リンクが新しいブラウザ タブで開きます。詳細については、[イベント プロファイル] ページを参照してください。 |
インシデント ID |
相関インシデントへのパーマリンク。リンクが新しいブラウザ タブで開きます。[インシデン] ページの管理 を参照してください。 |
[ブロック アイコン] アイコンが表示された場合は、アーティファクトがブロックされていることを示します。
アイコンをクリックすると、表示する列を変更できます。デフォルトでは、使用可能なすべての列が表示されます。
(またはエビデンス行の任意の場所)をクリックすると、次の情報が表示されます。
情報名 |
説明 |
|---|---|
脅威 |
検出されたセキュリティ リスクの名前。 |
脅威クラス |
検出されたセキュリティ リスク クラスの名前。 |
影響 |
キャンペーンの影響スコア。 |
ディテクタ |
脅威を特定した NSX Network Detection and Response モジュールが表示されます(ある場合)。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。 |
ネットワーク検出の表示 |
脅威を特定した NSX Network Detection and Response モジュールが表示されます(ある場合)。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。 |
インシデントの表示 |
リンクをクリックすると、[ネットワーク イベントの詳細] ページにアクセスします。リンクが新しいブラウザ タブで開きます。[イベント プロファイル] ページ を参照してください。 |
最初の検出 |
キャンペーンの開始時刻を示すタイムスタンプ。 |
最後の検出 |
キャンペーンの最新アクティビティを示すタイムスタンプ。 |
重要度 |
検出された脅威の重要度の見積もり。たとえば、C&C(コマンドとコントロール)サーバへの接続が検出された場合、接続が破損している可能性があるため、重要度は通常「高」と見なされます。 |
信頼性 |
検出された個々の脅威が、実際にどの程度悪意があるものかを示します。システムは高度なヒューリスティックを使用して未知の脅威を検出するため、見つかった特定の脅威に関する情報量がわずかであれば、その脅威の信頼性の値は低くなります。 |
