NSX Network Detection and Response[イベント] ページの [検出イベント] ウィジェットのエントリ行をクリックすると、[イベント サマリ] サイドバーにアクセスできます。

次のセクションでは、このサイドバーに表示される内容について説明します。最上部のセクションに続くセクションには、サポート データが表示されます。一部のセクションは、関連データが使用可能な場合にのみ表示されます。

最上部のセクション

サイドバーの最上部には、次のものが含まれます。

  • サイドバーを閉じるには、閉じるアイコン アイコンをクリックします。

  • [イベント プロファイル] ページでイベントを表示するには、[詳細 右山括弧] をクリックします。詳細については[イベント プロファイル] ページを参照してください。

  • イベントの簡単な説明が表示されます(利用可能な場合)。これは、このイベントにフラグが付けられた理由を示し、このイベントに関連する脅威またはマルウェアを特定し、検出されたアクティビティについて簡単に説明します。

脅威の詳細

このセクションには、次の情報が含まれます。

脅威の詳細の名前

説明

脅威

検出されたセキュリティ リスクの名前。

脅威クラス

検出されたセキュリティ リスク クラスの名前。

イベント ディテクタ

イベント ディテクタの名前。リンクをクリックすると、[ディテクタ] ポップアップ ウィンドウが表示されます。詳細については、[ディテクタのドキュメント] ポップアップ ウィンドウを参照してください。

イベントのディテクタがない場合、このセクションは表示されません。

影響

影響の値は、検出された脅威の重大度を 1 ~ 100 の範囲で示します。

  • 70 以上の脅威は重大と見なされます。

  • 30 ~ 69 の脅威は中リスクと見なされます。

  • 1 ~ 29 の脅威は無害と見なされます。

アクション

センサーによって実行されたアクションのリスト(ブロック アクティビティ、イベントがログに記録されているかどうか、トラフィックがキャプチャされたかどうか、マルウェアのダウンロードが抽出されたかどうかなど)。

結果

イベントの結果。ほとんどの場合、これは [検出] です。

[情報] イベント、および [情報] 状態から昇格したイベントについては、追加のラベルにその状態と状態変更の理由が示されます。ラベルの上にカーソルを置くとポップアップ ウィンドウが表示され、理由に関する追加情報が表示されます。

最初の検出/最後の検出

エビデンスが最初に検出されたときと最後に検出されたときのタイムスタンプを含むグラフ。

期間の情報はグラフの下に表示されます。
イベント トラフィック

[イベント トラフィック] ウィジェットには、イベントに関与するホスト間で確認されたトラフィックの概要が表示されます。イベントに関与するホストのうち、1 台以上がモニター対象ホストです。通信ホストには、モニター対象ホストまたは外部システムを使用できます。キャプチャされたトラフィックを表示するためのリンクも表示されます(データが使用可能な場合)。

矢印は、ホスト間のトラフィックの方向を示します。

ホストごとに、IP アドレスが表示されます。ホストがローカルの場合、アドレスはリンクで表示され、これをクリックすると [ホスト プロファイル] ページが表示されます。地理的な位置を示すフラグ、ホーム アイコン、または ネットワーク アイコン が表示される場合もあります。複数表示される場合があります。ホスト名も表示されます(利用可能な場合)。ホストの MAC アドレスが表示されます(DHCP トラフィックのモニタリングで利用可能な場合)。ホストに適用されたすべてのホスト タグが表示されます。whois アイコン をクリックすると、[WHOIS] ポップアップ ウィンドウにホストの詳細が表示されます(利用可能な場合)。

イベントのエビデンス

[イベントのエビデンス] セクションには、イベントの分析中に確認されたさまざまなアクションが一覧表示されます。詳細については、[イベントの詳細] リンクをクリックして、イベントのエビデンスを確認してください。

アクションには、シグネチャ、レピュテーション、異常な動作、ファイルのダウンロード、URL パスの一致、検証、アノマリなどがあります。リンク(ある場合)をクリックすると、対応する [ディテクタ] ポップアップ ウィンドウが表示され、各アクションの信頼性の値が表示されます。

マルウェアの特定

NSX マルウェア防止 アプリケーションが有効になると、検出されたマルウェアのサマリが表示されます。詳細については、[アナリスト レポート 右山括弧] リンクをクリックして分析レポートを表示します。詳細については分析レポートを使用するを参照してください。

詳細情報の名前

説明

アンチウイルス クラス

ダウンロードしたファイルのアンチウイルス クラスを定義するラベル。

アンチウイルス ファミリ

ダウンロードしたファイルのアンチウイルス ファミリを定義するラベル。

マルウェア

ダウンロードしたファイルのマルウェア タイプを定義するラベル。ラベルに タグ アイコン アイコンが表示されている場合、そのアイコンをクリックすると、ポップアップに説明が表示されます。

動作の概要

ダウンロードしたファイルで検出された動作。大量のデータがある場合、デフォルトではリストが部分的にしか表示されません。詳細を表示するには、[展開して詳細を表示 下山括弧] をクリックします。もう一度折りたたむには、[折りたたんで少なく表示 上山括弧] をクリックします。
イベント URL

[イベント URL] セクションには、イベントで検出されたすべての URL が表示されます。このセクションは、イベントが URL に関連付けられている場合にのみ表示されます。

イベントのメタデータ

[イベント メタデータ] セクションには、次のデータが表示されます。

データ名

説明

関連インシデント

リンク アイコン をクリックすると、関連するインシデントが表示されます(使用可能な場合)。

接続

イベントに含まれる接続の数。

関連キャンペーン

リンク アイコン をクリックすると、関連するキャンペーンが表示されます(使用可能な場合)。