[マルウェア防止] ダッシュボードを使用して、データセンターで抽出されたファイルのイベント詳細をドリルダウンし、より詳細なモニタリングと分析を行います。
ダッシュボードには、過去 14 日間のファイル イベントを表示できます。分散ファイアウォールおよびゲートウェイ ファイアウォールでサポートされるファイル イベントの最大数については、https://configmax.vmware.com/homeにある VMware 構成の最大値ツールを参照してください。
- [マルウェアの可能性] ページ
-
特定の期間にデータセンターで抽出された悪質なファイル、不審なファイル、未検出の(許可リストに登録された)ファイルのイベントを集約した詳細が表示されます。
バブル チャートのバブルは、データセンターで抽出された一意のファイルを表します。ファイルは、ファイル ハッシュによって一意に識別されます。バブル内の色とグラフィックは、ファイルが不正なファイル、不審なファイル、または未検出の(許可リストに登録された)ファイルかどうかを表します。
テーブル内の行は 1 つのファイルを表します。バブルの数字は、ファイルに対して計算された脅威スコアを示します。スコアの範囲は 0 ~ 100 で、ファイルに関連付けられているリスクまたは悪意のあるインテントの程度を示します。脅威スコアが高い場合はリスクが高く、低い場合は低くなります。次はその例です。- 無害なファイルのスコア範囲は 0 ~ 29 です。
- 不審なファイルのスコア範囲は 30 ~ 69 です。
- 不正なファイルのスコア範囲は 70 ~ 100 です。
- 未検査のファイルのスコアは -1 です。
ファイルの判定が不正または不審の場合、そのファイルのマルウェア ファミリとマルウェア クラスが表示されます。1 つのファイルは、複数のマルウェア ファミリまたはマルウェア クラスに属している場合があります。ただし、NSX がファイルのマルウェア ファミリとマルウェア クラスを認識していない場合、ユーザー インターフェイスに情報は表示されません。
注: ファイルごとに、イベントの詳細(検査の詳細)が集約され、ダッシュボードに表示されます。たとえば、1 つのファイルがデータセンターで 5 回検査された場合、5 つのファイル イベントが生成されています。つまり、ファイルの検査数は 5 です。ただし、バブル チャートにはファイルのバブルが 1 つだけ表示され、テーブルにはそのファイルの行が 1 つだけ表示されます。バブルをポイントすると、ファイルに対して実行された検査のサマリが表示されます。同様に、テーブル内のファイルの行を展開すると、最新のファイル検査の詳細が表示されます。ファイルに対する以前の検査の履歴はすべて保持され、表示することができます。次の表に、バブル チャートで使用されるアイコンの意味を示します。アイコン 意味
タイムライン上の小さなバブルは、ファイルに対する検査が 1 回だけ行われていることを表します。
タイムライン上の大きなバブルは、1 つのファイルに対して複数回検査が行われていることを表します。
例:.exe ファイルが 3 日間にわたって 5 台のゲスト仮想マシンに抽出され、NSX がこのファイルを不審なファイルと判断したとします。この場合、データセンター内で同じ 1 つのファイルに対して .exe ファイルの検査が 5 回行われています。「不審」タイムラインには大きなバブルが表示され、最後の検査のタイムスタンプが示されます。バブルをクリックすると、この .exe ファイルの 5 回の検査の履歴が表示されます。
タイムライン上のバブルのグループは、複数の固有のファイル検査が同じ判定になっていることを表します。
例:4 つの一意の .docx ファイル A、B、C、D がデータセンターの North-South トラフィックから同時(またはほぼ同じ時間)に抽出され、NSX がこれらのファイルをすべて不正なファイルと判断したとします。4 つのファイルのバブルがすべてグループ化され、バブル チャートの「不正」タイムラインに表示されます。
- [すべてのファイル] ページ
- 無害なファイルを含め、データセンターで抽出されたすべての一意のファイルがテーブル形式で表示されます。つまり、このページには、ファイルの判定に関係なく、すべての一意のファイルが表示されます。テーブル内の行を展開して、ファイルに行われた最後の検査の詳細を表示します。
前提条件
- NSX Malware Prevention機能が NSX アプリケーション プラットフォーム で有効になっている。
- NSX Malware Prevention機能が、セキュリティ要件に応じて、ESXi ホスト クラスタまたは Tier-1 ゲートウェイ、またはその両方で有効になっている。