NSX Intelligence 收集網路流量資料後,NSX 可疑流量引擎會根據該收集的資料,產生網路威脅分析,並使用事件頁面,來報告任何已偵測到的可疑流量事件。您可以使用泡泡圖和/或網格格式,來檢視可疑流量事件的相關資訊。

必要條件

管理可疑流量事件

依預設,在您導覽至安全性 > 可疑的流量 > 事件時,您會看到以泡泡圖和網格格式顯示的可疑流量事件,如下圖所示。影像後面的資料表描述影像中反白顯示的編號區段。


此螢幕擷取畫面顯示 [可疑的流量] UI 頁面中 [事件] 索引標籤。

區段

說明

1

提供 NSX 可疑流量 功能在所選取時段內進行的流量可疑流量事件偵測總數。

2

在此區段中,您可以選取一個時段,系統用來判定在此 UI 頁面上有關偵測到事件的歷程資料是由 NSX 可疑流量 報告。該時段相對於目前時間,而部分時段在過去。預設時段為過去 1 小時。若要變更所選時段,請按一下目前的選項,然後從下拉式功能表選取其他時段。可用的選項包括過去 1 小時過去 12 小時過去 24 小時過去 1 週過去 2 週過去 1 個月

3

圖表切換開關可判定是否顯示泡泡圖。當圖表切換已關閉時,則只有網格才會顯示可疑流量事件的相關資訊。依預設,它會切換為開啟

4

如果啟用 NSX Network Detection and Response 功能,在您檢視 NSX 可疑流量 使用者介面時,將在 UI 右上角顯示應用程式啟動器圖示 應用程式啟動器圖示

若要使用 NSX Network Detection and Response UI 檢視有關偵測到的異常事件的詳細資料,請按一下 應用程式啟動器圖示 圖示,然後選取 NSX Network Detection and Response。從 NSX Network Detection and Response UI 中,再次按一下應用程式啟動器圖示,然後選取 NSX 以回到 NSX 可疑流量 UI。

5

此泡泡圖提供在所選取時段內發生偵測到事件時的視覺時間表。會根據可疑流量事件的嚴重性來繪製每個事件。以下是嚴重性類別及其對應的嚴重性分數。

  • 嚴重:75-100
  • 高:50-74

  • 中:25-49

  • 低:0-24

6

篩選器區域可讓您縮小針對選取的時段顯示可疑流量事件的範圍。按一下篩選事件,然後從下拉式功能表選取您要套用的篩選器,並在顯示的次要下拉式功能表中選取特定的項目。可用的篩選器包括下列各項。

  • 信賴度分數 - 這是使用 NSX 可疑流量 功能使用的專利演算法,系統根據事件為異常的信賴程度所指派的分數。

  • 偵測器 - 設計用於偵測網路流量中的異常事件的感應器。偵測器會與單一 MITRE ATT&CK 類別或技術對應。

  • 影響分數 - 使用專有演算法計算的分數,該算法使用可疑流量事件的信賴度分數及其嚴重性的組合 (如果已正確偵測)。

  • 策略 - 代表攻擊者使用 ATT&CK 策略執行動作的原因。

  • 技術 - 代表攻擊者如何使用特定技術/子技術嘗試實現其攻擊的策略目標。

  • 虛擬機器 - 在所選取時段內參與發生的偵測事件的虛擬機器。

7

按一下圖例以列出可能在泡泡圖中顯示的不同類型泡泡。下列清單說明每個泡泡,以及其代表的可疑流量事件類型。

  • 持續性 - 攻擊者嘗試保有對您的網路中系統的控制。

  • 認證存取 - 攻擊者嘗試竊取帳戶名稱和密碼。

  • 探索 - 攻擊者嘗試瞭解您的網路環境。

  • 命令和控制 - 攻擊者嘗試與受危害的系統通訊並控制它們。

  • 橫向移動 - 攻擊者嘗試在您的網路環境中移動。

  • 收集 - 攻擊者嘗試收集有助於實現其最終目標的資訊。

  • 外流 - 攻擊者嘗試從您的網路竊取資料。

  • 其他 - 偵測器無法與 MITRE ATT&CK 架構中定義的特定策略相關聯。

  • 多個事件 - 在相同時段內發生了多個可疑流量事件。將時間範圍滑桿右移會變更顯示的泡泡類型的範圍,因此,多個事件泡泡可能會劃分為多個和其他類型的泡泡。如果按一下 [多個事件] 泡泡,您會在路標中看到所有事件的清單。如果您在路標中按一下資料表中的資料列,則會移至下方網格中相關泡泡的資料列。

8

圖表中的每個泡泡代表在所選取時段內發生的一或多個可疑流量事件。泡泡的顏色或類型代表攻擊者在偵測到的攻擊期間使用的策略。如需詳細資訊,請參閱圖例中的描述。

9

時間範圍滑桿可讓您檢視在所選取時段的部分時間內發生的可疑流量事件。反白顯示的藍色區域代表泡泡圖中顯示的內容。在您將滑桿向右或向左滑動時,將隨著滑桿中反白顯示的時段內發生的可疑流量事件更新泡泡圖。如果可疑流量事件是在大約相同時間發生,則會以多個事件泡泡來代表這些可疑流量事件。在您將滑桿向右移時,將會注意到多個事件泡泡展開為多個泡泡,其代表在大約該時段內發生的不同可疑流量事件。

10

網格會顯示有關 NSX 可疑流量 功能在所選取時段內識別的每個可疑流量事件的資訊。在未展開時,每一個資料列會顯示下列重要事件資料。

  • 影響 - 六邊形內顯示的數字是 NSX 可疑流量功能所計算的可疑流量事件影響分數。影響分數是事件的信賴度 (信賴度分數) 與威脅嚴重性 (嚴重性分數) 的組合 (如果正確偵測到)。當指向六邊形圖示時,會顯示包含信賴度分數和嚴重性分數的工具提示。六邊形的顏色和六邊形旁的文字是相同影響分數的其他兩種表示法。影響分數的定義如下。

    • 75 到 100 的影響分數會以具有紅色邊框的六邊形和嚴重文字表示。
    • 50 到 74 的影響分數會以具有橙色邊框的六邊形和文字表示。
    • 25 到 49 的影響分數會以具有黃色邊框的六邊形和文字表示。
    • 0 到 24 的影響分數會以具有灰色邊框的六邊形和文字表示。
  • 偵測時間 - 偵測到事件的日期和時間。

  • 偵測器 - NSX 可疑流量 功能用來偵測事件的偵測器的名稱。按一下偵測器名稱時,對話方塊將會顯示有關偵測器的詳細資訊,例如:其目標、ATT&CK 類別以及有關偵測器的摘要。ATT&CK 類別區段包含指向 MITRE ATT&CK 網站的連結,其提供有關可疑流量事件中使用的該特定 ATT&CK 類別的詳細資料。

  • 類型 - 列出可疑流量事件中使用的策略和技術。

  • 受影響的物件 - 列出可疑流量事件中涉及的來源虛擬機器和目標虛擬機器。

範例螢幕擷取畫面還會顯示一個展開的資料列。當展開時,每一個資料列會顯示更多的事件資訊。詳細資料包括偵測到事件的摘要,以及在展開的資料列中顯示視覺效果或其他事件資料的說明。例如,在上面的螢幕擷取畫面中,展開的資料列會顯示偵測到的事件摘要以及視覺效果呈現的資訊。並非所有可疑流量事件都會有視覺效果。其他可疑流量事件僅具有更多詳細資料。

11

展開的資料列可能還會在右下角顯示一或多個連結。在按一下時,連結會將您的檢視切換至另一個 UI 頁面,其中提供有關偵測到事件的詳細資訊。以下是可疑流量事件的可用連結 (如果適用)。

即使未啟用 NSX Network Detection and Response 功能,也可能會啟用下列連結。

  • 檢視受影響的虛擬機器及其目前流量 - 按一下此連結時,系統將在計劃和疑難排解索引標籤中顯示視覺效果畫布。它會顯示可疑流量事件中涉及的計算實體。如需詳細資訊,請參閱使用 NSX Intelligence 中的 [計算] 視圖

如果啟用 NSX Network Detection and Response 應用程式,事件還可能具有下列連結 (如果適用)。

  • 活動 - 如果 NSX Advanced Threat Prevention 雲端服務將這個可疑流量事件識別為活動的一部分,則會啟用此連結。按一下連結時,將在 NSX Network Detection and Response 使用者介面的活動頁面上顯示有關活動的詳細資料。如需詳細資訊,請參閱《NSX 管理指南》的〈安全性〉一章的〈NSX Network Detection and Response〉一節中的「管理活動頁面」主題。您可以在 VMware NSX 說明文件集中,找到《NSX 管理指南》3.2 版及更新版本。

  • 事件詳細資料 - 按一下此連結時,將開啟一個新瀏覽器索引標籤,並在 NSX Network Detection and Response 使用者介面的事件設定檔頁面中顯示有關可疑流量事件的更多詳細資料。如需詳細資訊,請參閱《NSX 管理指南》的〈安全性〉一章的〈NSX Network Detection and Response〉一節中的「使用事件頁面」主題。您可以在 VMware NSX 說明文件集中,找到《NSX 管理指南》3.2 版及更新版本。