[すべて] タブには、NSX ネットワークで分析されたファイル ダウンロードのすべてのインスタンスが表示されます。

[すべて] タブでの時間の経過につれてダウンロードされたファイル

[すべて] タブの [ダウンロードされたファイル] ウィジェットには、指定された時間範囲内にモニター対象ネットワークにダウンロードされたファイルの数の概要が表示されます。グラフは、ダウンロードしたファイルの毎日のヒストグラムで、高レベルのファイル タイプごとにグループ化されます。

ウィジェットには、分析されたすべてのファイル ダウンロードが表示されます。

ファイル タイプのリストについては、一定期間にダウンロードされたファイルを参照してください。

[ダウンロードされたファイル] ページでのフィルタの使用

NSX Network Detection and Response にあるフィルタリング メカニズムにより、ダウンロードしたファイルで目的とするものに関する特定の情報にフォーカスできます。フィルタの使用はオプションです。

手順

  1. [ダウンロードされたファイル] ページで プラス アイコン をクリックして、[フィルタ] ウィジェットを展開します。
  2. [フィルタ オン] テキスト ボックス内の任意の場所をクリックし、ドロップダウン メニューで項目を選択します。

    以下の利用可能なフィルタから選択できます。表示される情報のフォーカスをさらに絞り込むには、複数のフィルタを組み合わせます。

    フィルタ名

    説明

    [分析タグ]

    表示されるファイルを、分析タグで制限します。分析タグとは、システム分析によってファイルまたは URL に割り当てられるラベルです。脅威や脅威クラスを特定することも、検出された悪意のある特定の動作を参照することもできます。

    [アナリスト UUID]

    表示されるファイルを、ダウンロードしたファイルのシステム分析 UUID で制限します。アナリスト UUID とは、ファイルの分析のための一意な内部識別子です。

    [アプリケーション プロトコル]

    表示されるファイルを、指定のプロトコルのいずれかで転送されたものに制限します。サポートされる値は、HTTP/HTTPS、FTP、SMB です。

    [接続した IP アドレス]

    表示されるファイルを、ファイルのダウンロード元の IP アドレスで制限します。ホスト IP フィルタと同様、ここでは IP アドレス、CIDR ブロック、IP アドレス範囲をサポートします。

    [ファイル タイプ フィルタ]

    表示されるファイルを、1 つ以上の上位レベルのファイル タイプで制限します。ファイル タイプのリスト(前掲)を参照してください。

    [ファイル]

    悪質 を選択して、表示されるファイルを悪意のあるファイルに制限します。そのファイルには、システム分析によって(100 中)70 以上のスコアが割り当てられています。

    [ホスト IP]

    表示されるファイルを、ファイルをダウンロードしたネットワークにあるホストの IP アドレスで制限します。このフィルタでは、1 つ以上の IP アドレス、CIDR ブロック(192.168.0.0/24 など)、IP アドレス範囲(192.168.1.5-192.168.1.9 など)で選択できるようサポートします。

    [HTTP ホスト]

    表示されるファイルを、ファイルのダウンロード元のホスト名で制限します。

    注:

    この値は、ファイルをダウンロードした HTTP 要求の HTTP Host ヘッダーから抽出されます。そのため、クライアントの制御下にあり、また悪意のあるソフトウェア(感染しているホストですでに実行されているマルウェア バイナリなど)によるなりすましの可能性があります。

    [MD5]

    表示されるファイルを、ダウンロードしたファイルの MD5 ハッシュで制限します。

    [最小スコア]

    表示されるファイルを、選択した値(1 ~ 100)よりも大きいスコアがシステム分析により割り当てられているファイルに制限します。

  3. 選択したフィルタを適用するには、[適用] をクリックします。
  4. (オプション) フィルタを個別に削除するには、エントリの横にある [削除] ボタンをクリックします。選択したフィルタをすべて削除するには、[フィルタ] ウィジェットの右側にある [X] アイコンをクリックします。

    選択したフィルタをすべて削除すると、[フィルタ] ウィジェットが折りたたまれます。

[すべて] タブの [ダウンロードされたファイルのリスト]

[ダウンロードされたファイルのリスト] には、ネットワーク内のホストによってダウンロードされ、NSX Advanced Threat Prevention サービスによって処理されたすべてのファイルが表示されます。

リストの左上隅にある [高速検索] テキスト ボックスでは、入力した瞬間から高速検索を実行できます。リスト内の行がフィルタされた後、検索テキスト ボックスに入力したクエリ文字列と一致するテキストを含む行のみが、列を問わず表示されます。

リストに表示される列をカスタマイズするには、追加コンテンツ アイコンをクリックします。周囲のテキストで説明します。 アイコン(リストの右上隅)です。

表示する行数はカスタマイズできます。デフォルトのエントリ数は 20 件です。left arrowhead アイコンと 右山括弧アイコン アイコンを使用して、複数のページ間を移動します。

各行が、ダウンロードされたファイルのサマリを示しています。プラス アイコン アイコンをクリックするか、エントリ行の任意の場所をクリックすると、ダウンロードしたファイルの詳細ビューにアクセスできます。

ダウンロードされたファイルの詳しいビューに関する追加情報については、ダウンロードされたファイルの詳細を参照してください。

リストはタイムスタンプ情報の順に並べ替えられ、次の列を含みます。
列の名前 説明
タイムスタンプ ファイルのダウンロードを検出したときのタイムスタンプ。
ホスト ファイルをダウンロードしたホスト。
接続された IP アドレス 接続されたホストの IP アドレス。
場所

ダウンロードの場合、これはサポートされている形式のファイルの URL です。たとえば、SMB ダウンロードの場合は \\127.0.0.2\samba_share\1128dedb.exe、HTTP ダウンロードの場合は http://www.example.com/download/example.zip です。

アップロードの場合は、「アップロード」が表示されます。

MD5 ダウンロードしたファイルの MD5 ハッシュ。
タイプ ダウンロードされたファイルの上位レベルのタイプ。ファイル タイプのリストについては、一定期間にダウンロードされたファイルを参照してください。
AV クラス ダウンロードしたファイルのアンチウイルス クラスを定義するラベル。ラベルに タグ アイコン アイコンが表示されている場合は、そのアイコンをクリックするとポップアップに説明が表示されます。
マルウェア ダウンロードしたファイルのマルウェア タイプを定義するラベル。ラベルに タグ アイコン アイコンが表示されている場合は、そのアイコンをクリックするとポップアップに説明が表示されます。
スコア

NSX Intelligence 分析によって、ダウンロードされたファイルに割り当てられたスコア。リストをタイムスタンプで並べ替えるには、リストの並べ替えアイコン をクリックします。

ブロック アイコン が表示された場合は、アーティファクトがブロックされていることを示します。