[マルウェア防止] ダッシュボードを使用して、データセンターで抽出されたファイルのイベント詳細をドリルダウンし、より詳細なモニタリングと分析を行います。

ダッシュボードには、過去 14 日間のファイル イベントを表示できます。分散ファイアウォールおよびゲートウェイ ファイアウォールでサポートされるファイル イベントの最大数については、https://configmax.vmware.com/homeにある VMware 構成の最大値ツールを参照してください。

ファイル イベント(ファイル検査)に関する情報は 2 つのタブ ページに表示されます。
[マルウェアの可能性] ページ

特定の期間にデータセンターで抽出された悪質なファイル、不審なファイル、未検出の(許可リストに登録された)ファイルのイベントを集約した詳細が表示されます。

バブル チャートのバブルは、データセンターで抽出された一意のファイルを表します。ファイルは、ファイル ハッシュによって一意に識別されます。バブル内の色とグラフィックは、ファイルが不正なファイル、不審なファイル、または未検出の(許可リストに登録された)ファイルかどうかを表します。

テーブル内の行は 1 つのファイルを表します。バブルの数字は、ファイルに対して計算された脅威スコアを示します。スコアの範囲は 0 ~ 100 で、ファイルに関連付けられているリスクまたは悪意のあるインテントの程度を示します。脅威スコアが高い場合はリスクが高く、低い場合は低くなります。次はその例です。
  • 無害なファイルのスコア範囲は 0 ~ 29 です。
  • 不審なファイルのスコア範囲は 30 ~ 69 です。
  • 不正なファイルのスコア範囲は 70 ~ 100 です。
  • 未検査のファイルのスコアは -1 です。

ファイルの判定が不正または不審の場合、そのファイルのマルウェア ファミリとマルウェア クラスが表示されます。1 つのファイルは、複数のマルウェア ファミリまたはマルウェア クラスに属している場合があります。ただし、NSX がファイルのマルウェア ファミリとマルウェア クラスを認識していない場合、ユーザー インターフェイスに情報は表示されません。

注: ファイルごとに、イベントの詳細(検査の詳細)が集約され、ダッシュボードに表示されます。たとえば、1 つのファイルがデータセンターで 5 回検査された場合、5 つのファイル イベントが生成されています。つまり、ファイルの検査数は 5 です。ただし、バブル チャートにはファイルのバブルが 1 つだけ表示され、テーブルにはそのファイルの行が 1 つだけ表示されます。バブルをポイントすると、ファイルに対して実行された検査のサマリが表示されます。同様に、テーブル内のファイルの行を展開すると、最新のファイル検査の詳細が表示されます。ファイルに対する以前の検査の履歴はすべて保持され、表示することができます。
次の表に、バブル チャートで使用されるアイコンの意味を示します。
アイコン 意味

小さなバブル アイコンの画像。

タイムライン上の小さなバブルは、ファイルに対する検査が 1 回だけ行われていることを表します。

大きなバブル アイコンの画像

タイムライン上の大きなバブルは、1 つのファイルに対して複数回検査が行われていることを表します。

例:.exe ファイルが 3 日間にわたって 5 台のゲスト仮想マシンに抽出され、NSX がこのファイルを不審なファイルと判断したとします。この場合、データセンター内で同じ 1 つのファイルに対して .exe ファイルの検査が 5 回行われています。「不審」タイムラインには大きなバブルが表示され、最後の検査のタイムスタンプが示されます。バブルをクリックすると、この .exe ファイルの 5 回の検査の履歴が表示されます。

バブル アイコンのグループの画像

タイムライン上のバブルのグループは、複数の固有のファイル検査が同じ判定になっていることを表します。

例:4 つの一意の .docx ファイル A、B、C、D がデータセンターの North-South トラフィックから同時(またはほぼ同じ時間)に抽出され、NSX がこれらのファイルをすべて不正なファイルと判断したとします。4 つのファイルのバブルがすべてグループ化され、バブル チャートの「不正」タイムラインに表示されます。
[すべてのファイル] ページ
無害なファイルを含め、データセンターで抽出されたすべての一意のファイルがテーブル形式で表示されます。つまり、このページには、ファイルの判定に関係なく、すべての一意のファイルが表示されます。テーブル内の行を展開して、ファイルに行われた最後の検査の詳細を表示します。

前提条件

  • NSX マルウェア防止機能が NSX Application Platform で有効になっている。
  • NSX マルウェア防止機能が、セキュリティ要件に応じて、ESXi ホスト クラスタまたは Tier-1 ゲートウェイ、またはその両方で有効になっている。

手順

  1. ブラウザから、NSX Manager (https://nsx-manager-ip-address) にログインします。
  2. [セキュリティ] をクリックして、左側のナビゲーション ペインで、[マルウェア防止] をクリックします。
    [マルウェアの可能性] 画面が表示されます。デフォルトでは、バブル チャートとテーブルには、過去 1 時間に抽出されたファイルが表示されます。異なる期間のファイルを表示するには、このページの右上隅にあるドロップダウン メニューをクリックして、別の期間を選択します。
  3. (オプション) 画面の右上隅にあるフィルタ アイコンをクリックして、画面の情報をフィルタリングする基準を選択します。
    フィルタ基準は、バブル チャートとテーブルの両方に適用されます。次のフィルタ基準がサポートされています。
    • 判定(許可リストを含む)
    • SHA256 ハッシュ
    • ブロック
    • ファイル タイプ
    • マルウェア クラス
    • マルウェア ファミリ
  4. ダッシュボードに表示されるファイル イベントの詳細(検査)をモニターします。
    1. バブルをポイントすると、ポップアップ ウィンドウにファイルの検査に関するサマリ情報が表示されます。
      ポップアップ ウィンドウの情報は、小さなバブル、大きなバブル、またはバブルのグループのどれをポイントするかによって異なります。たとえば、小さなバブルをポイントすると、ポップアップ ウィンドウにファイルの 1 回の検査に関するサマリ情報が表示されます。
    2. 必要であれば、バブル チャートのタイムラインをドラッグしてズームアウトまたはズームインします。
    3. バブルをクリックすると、テーブル内のファイルに直接移動できます。行を展開して、このファイルの最新の検査に関する完全な詳細を表示します。
      フィールド 説明

      ファイル タイプ

      トランスポート ノード(ホストまたは Edge)で抽出されたファイルのタイプ。たとえば、PdfDocFile、PeExeFile、ShellScriptFile など。

      ファイル タイプの詳細

      ファイル タイプに関する簡単な情報。

      クライアント (最後)

      前回の検査でファイルを受信したターゲット マシン。

      エンドポイント仮想マシンがデータセンター内の分散 East-West トラフィックから抽出したファイルの場合、クライアントはエンドポイント仮想マシン自体になります。

      NSX Edge が North-South トラフィックから抽出したファイルの場合、トラフィックの方向によってクライアントが決まります。

      たとえば、データセンター内の仮想マシンがデータセンター外のマシンにファイルをアップロードしている場合、クライアントはデータセンターの外部のマシンになります。データセンター内の仮想マシンがデータセンター外のマシンからファイルをダウンロードしている場合、クライアントはデータセンター内の仮想マシンになります。

      サーバ (最後)

      前回の検査でファイルを送信した送信元マシン。

      エンドポイント仮想マシンがデータセンター内の分散 East-West トラフィックから抽出したファイルの場合、NSX マルウェア防止 はファイルのソースを特定できません。したがって、[サーバ(最後)] ボックスは常に空になります。

      NSX Edge が North-South トラフィックから抽出したファイルの場合、トラフィックの方向によってサーバが決まります。

      たとえば、データセンター内の仮想マシンがデータセンター外のマシンからファイルをダウンロードしている場合、サーバはデータセンター外のマシンです。データセンター内の仮想マシンがデータセンター外のマシンにファイルをアップロードしている場合、サーバはデータセンター内の仮想マシンになります。

      ファイル名

      ファイルに関連付けられた名前。1 つのファイルに一意のハッシュがありますが、ファイルを受信したクライアントがファイルを別の名前で保存している場合があります。

      プロトコル

      ファイル転送に使用されるプロトコル。たとえば、HTTP、FTP、HTTPS など。

      ワークロード

      このフィールドの横にある数字をクリックすると、ファイルの影響を受けるデータセンター内のすべてのワークロード仮想マシンのリストが表示されます。

      検査の合計数

      このフィールドの横にある番号をクリックして、ファイルに対して行われたすべての検査の履歴を表示します。たとえば、ファイルがデータセンターで 10 回検査されている場合、ポップアップ ウィンドウに 10 件すべての検査のサマリが表示されます。

      ファイアウォール タイプ

      この値は、分散/ホスト または Edge のいずれかになります。

      分散ファイアウォールが実行されている ESXi ホストからファイルが最後に抽出されている場合、値は「分散」または「ホスト」になります。

      ゲートウェイ ファイアウォールが実行されている Edge からファイルが最後に抽出されている場合、値は「Edge」になります。

      トランスポート ノード

      前回の検査でファイルが抽出された Edge トランスポート ノードまたはホスト トランスポート ノードの ID。

      初回検査日

      ファイルがデータセンターで最初に検査された日時。

      最終検査日

      ファイルがデータセンターで最後に検査された日時。

      送信元

      値は常に「システム」です。これは、NSX が詳細な分析を行うためにファイルをクラウドに送信したことを意味します。

      このフィールドは、NSX 4.1.1 以降では削除されています。

      アナリスト UUID

      詳細な分析を行うためのクラウドへのファイル送信の UUID。UUID は、ファイルが前回の検査中または前回の検査でクラウドに送信されたかどうかに関係なく表示されます。ファイルがクラウドに複数回送信されている場合は、最後の送信の UUID が表示されます。

      ブロック

      ファイルがブロックされているかどうかを示します。値は「はい」または「いいえ」のいずれかです。
    4. (オプション) 次の追加タスクを実行します。
  5. [すべてのファイル] タブをクリックします。
    このページには、ファイルの判定に関係なく、データセンターで抽出されたすべての一意のファイルのリストが表示されます。デフォルトでは、過去 1 時間に抽出されたファイルが表示されます。異なる期間のファイル リストを表示するには、このページの右上隅にあるドロップダウン メニューをクリックして、別の期間を選択します。