NSX Network Detection and Response ユーザー インターフェイスの [キャンペーンの詳細] ページにある [エビデンス] タブには、現在選択されているキャンペーンで検出されたエビデンスのリストが表示されます。

各行は、キャンペーンのエビデンスのサマリです。プラス アイコン(またはエントリ行の任意の場所)をクリックして行を展開すると、シグネチャのエビデンス情報が表示されます。

エビデンス リストには、次の列が含まれています。

[エビデンス] の列

説明

IP アドレス

脅威のソースであるホストの IP アドレス。

最初の検出

キャンペーンの開始時刻を示すタイムスタンプ。

最後の検出

キャンペーンの最新アクティビティを示すタイムスタンプ。

脅威

検出されたセキュリティ リスクの名前。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

影響

影響の値は、検出された脅威の重大度を 1 ~ 100 の範囲で示します。

  • 70 以上の脅威は重大と見なされます。

  • 30 ~ 69 の脅威は中リスクと見なされます。

  • 1 ~ 29 の脅威は無害と見なされます。

ブロック アイコン[ブロック アイコン] アイコンが表示された場合は、アーティファクトがブロックされていることを示します。

エビデンス

キャンペーンのエビデンスの派生値。詳細については、エビデンスについてを参照してください。

サブジェクト

キャンペーンの追加情報。これは、IP アドレス、HTTP 応答コード、またはその他のデータである場合があります。

リファレンス

リンクをクリックすると、[ネットワーク イベントの詳細] ページにアクセスします。リンクが新しいブラウザ タブで開きます。詳細については、[イベント プロファイル] ページを参照してください。

インシデント ID

相関インシデントへのパーマリンク。リンクが新しいブラウザ タブで開きます。[インシデン] ページの管理 を参照してください。

3 本の横棒アイコン アイコンをクリックすると、表示する列を変更できます。デフォルトでは、使用可能なすべての列が表示されます。

プラス アイコン(またはエビデンス行の任意の場所)をクリックすると、次の情報が表示されます。

情報名

説明

脅威

検出されたセキュリティ リスクの名前。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

影響

キャンペーンの影響スコア。

ディテクタ

脅威を特定した NSX Network Detection and Response モジュールが表示されます(ある場合)。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。

ネットワーク検出の表示

脅威を特定した NSX Network Detection and Response モジュールが表示されます(ある場合)。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。

インシデントの表示

リンクをクリックすると、[ネットワーク イベントの詳細] ページにアクセスします。リンクが新しいブラウザ タブで開きます。[イベント プロファイル] ページ を参照してください。

最初の検出

キャンペーンの開始時刻を示すタイムスタンプ。

最後の検出

キャンペーンの最新アクティビティを示すタイムスタンプ。

重要度

検出された脅威の重要度の見積もり。たとえば、C&C(コマンドとコントロール)サーバへの接続が検出された場合、接続が破損している可能性があるため、重要度は通常「高」と見なされます。

信頼性

検出された個々の脅威が、実際にどの程度悪意があるものかを示します。システムは高度なヒューリスティックを使用して未知の脅威を検出するため、見つかった特定の脅威に関する情報量がわずかであれば、その脅威の信頼性の値は低くなります。