下載的檔案詳細資料檢視會在下載的檔案清單內展開。

您將會看到下列可用詳細資料的一部分,取決於您在下載的檔案頁面上選取的索引標籤。

詳細資料名稱

說明

分析報告

按一下連結或 連結圖示 圖示,可在新的索引標籤中檢視分析報告。

檔案類型

下載的檔案的高階類型。如需檔案類型清單,請參閱一段時間下載的檔案

檔案類型詳細資料

如果可用,則顯示有關檔案類型的詳細資料。例如,PE executable, application, 32-bit, Intel i386Zip archive data

檔案名稱

如果可用,則顯示檔案的名稱。

已下載

對於唯一下載,這是網路中的主機下載檔案的次數。

按一下數字或 搜尋圖示 圖示,以檢視下載頁面上的檔案下載。該連結會傳遞一個分析人員 UUID 篩選器,以將檢視限制於該特定檔案的下載。

下載者

網路中下載的檔案主機的 IP 位址。

如果可用,請按一下 whois 圖示,在 WHOIS 快顯視窗檢視有關主機的登錄資訊和其他資料。

URL

檔案下載的 URL。這是 UTF-8 編碼的 Unicode 字串。

URL

檔案下載的原始 URL。如果在 URL 中有任何非 ASCII 字元,則這些字元以及反斜線字元本身,將會使用反斜線編碼。

通訊協定

用於下載檔案的網路通訊協定。HTTP/HTTPS、FTP 或 SMB 之一。

下載來源

已連線主機的 IP 位址。

如果可用,請按一下 whois 圖示,在 WHOIS 快顯視窗檢視有關主機的登錄資訊和其他資料。

HTTP 主機

如果可用,則顯示連線的主機的網域名稱。此名稱可能是從其他資料衍生,包括 IP 位址。

如果可用,請按一下 whois 圖示,在 WHOIS 快顯視窗檢視有關主機的登錄資訊和其他資料。

使用者代理程式

從 HTTP/HTTPS 要求中擷取的使用者代理程式字串。

第一次下載

對於唯一下載,這是檔案下載第一次記錄偵測的時間戳記。

最後一次下載

對於唯一下載,這是檔案下載最新一次偵測的時間戳記。

時間戳記

檔案下載偵測的時間戳記。

檔案大小

檔案的大小,以位元組為單位。

MD5

下載的檔案的 MD5 雜湊。

SHA1

下載的檔案的 SHA1 雜湊。

提交狀態

指出未提交下載的檔案的原因,以進行完整分析。通常這是因為預先篩選或其他原因而導致。將滑鼠暫留在 問號圖示 圖示上,以顯示一個快顯視窗,其中含有進一步詳細資料。

分析人員 UUID

NSX Advanced Threat Prevention 服務在處理下載的檔案後傳回的唯一識別碼。

事件識別碼

指向檔案下載的相關聯事件的連結。按一下識別碼或 連結圖示,可檢視事件。如需詳細資訊,請參閱偵測事件

分析概觀

分析概觀區段提供 NSX Advanced Threat Prevention 服務對下載的檔案進行分析的結果摘要。

若要在新索引標籤中開啟完整的分析報告,請按一下 黑色圓圈中的鏈條圖示。請參閱使用分析報告

若要將偵測到的檔案下載到您的本機機器,請按一下畫面右側的 檔案下載圖示。從下拉式功能表中,選取下載檔案以 ZIP 格式下載

如果您選取以 ZIP 格式下載,則會顯示以 Zip 格式下載檔案快顯視窗,提示您為封存檔提供可選的密碼。按一下下載以完成下載 .ZIP 檔案。

重要:

NSX Network Detection and Response 應用程式僅會允許您在特定情況下下載偵測到的檔案。

如果構件被視為低風險,則會顯示 檔案下載圖示,而您可以將其下載到您的本機機器。

如果構件被視為有風險,則不會顯示 檔案下載圖示,除非您的授權具有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能。

您必須注意,開啟構件時可能會造成危害。

NSX Network Detection and Response 介面可能會顯示警告:下載惡意檔案快顯視窗。按一下我同意按鈕以接受條件並下載檔案。

對於惡意構件,您可能希望將檔案封裝在 ZIP 封存檔中,以防止監控您的流量的其他解決方案自動檢查該威脅。

如果您沒有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能並需要能夠下載惡意構件,請與 VMware 支援聯絡。

按一下 展開圖示摺疊圖示,以展開和摺疊索引標籤上的區段。

此分析概觀區段會提供 NSX Advanced Threat Prevention 服務分析的檔案或 URL 的分析結果摘要。區段會顯示下列資料。
  • MD5 - 檔案的 MD5 雜湊。若要在您的網路中搜尋此構件的其他執行個體,請按一下 <搜尋圖示>。
  • SHA1 - 檔案的 SHA1 雜湊。
  • SHA256 - 檔案的 SHA256 雜湊。
  • MIME 類型 - 用於識別檔案中資料類型的標籤。
  • 提交 - 提交時間戳記

威脅層級區段會從分析結果的摘要開始:發現檔案 md5 雜湊是惡意/良性

然後,它會顯示下列資料:
風險評估
此區段會顯示風險評估結果。
  • 惡意分數 - 設定滿分為 100 的分數。
  • 風險估計 - 估計此構件造成的風險:
    • 高 - 此構件任現嚴重風險,且您必須優先解決。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險是多方面的:從資訊洩漏到系統功能失效。這些風險有一部分是從偵測到的活動類型推斷的。此類別的分數臨界值通常大於 70。
    • 中 - 此構件呈現長期風險,且您必須密切監控。它可能是包含可疑內容的網頁,可能導致偷渡式下載嘗試。它也可能是廣告軟體或假冒防毒產品,其不會立即產生嚴重威脅,但可能會導致系統執行出現問題。此類別的分數臨界值通常為 30-70。
    • 低 - 此構件將視為良性,您可以忽略它。此類別的分數臨界值通常低於 30。

  • 防毒類別 - 構件所屬的防毒或惡意軟體類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。

  • 防毒系列 - 構件所屬的防毒或惡意軟體系列。例如,valyria、darkside 等。若要搜尋此系列的其他執行個體,請按一下搜尋圖示。

分析概觀
顯示的資訊會依嚴重性排序,並包括下列屬性:
  • 嚴重性 - 在構件分析期間偵測到的活動的惡意程度,分數為 0-100。額外的圖示會指出可能執行該構件的作業系統。
  • 類型 - 在構件分析期間偵測到的活動類型。這些類型包括:
    • 自動啟動 - 能夠在電腦關閉後重新啟動。
    • 停用 - 能夠停用系統的關鍵元件。
    • 規避 - 能夠規避分析環境。
    • 檔案 - 對檔案系統的可疑活動。
    • 記憶體 - 系統記憶體內的可疑活動。
    • 網路 - 網路層級的可疑活動。
    • 信譽 - 已知來源或由信譽良好的組織簽署。
    • 設定 - 能夠永久變更關鍵系統設定。
    • 特徵碼 - 惡意主體識別。
    • 竊取 - 能夠存取並可能會洩漏敏感資訊。
    • 隱藏 - 能夠保持不被使用者注意到。
    • 靜默 - 良性主體識別。
  • 描述 - 對分析構件期間偵測到的每種類型活動對應的描述。
  • ATT&CK 策略 - 攻擊的一或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
  • ATT&CK 技術 - 觀察到惡意行為者可能使用的動作或工具。多個技術會以逗號分隔。
  • 連結 - 若要搜尋此活動的其他執行個體,請按一下搜尋圖示。
其他構件
此區段列出在分析提交的樣本期間觀察到的其他構件 (檔案和 URL),並提交這些構件以進行深入分析。此區段包括下列屬性:
  • 描述 - 描述其他構件。
  • SHA1 - 其他構件的 SHA1 雜湊。
  • 內容類型 - 其他構件的 MIME 類型。
  • 分數 - 其他構件的惡意分數。若要檢視相關聯的分析報告,請按一下 分析報告圖示
解碼的命令列引數
如果在分析期間執行了任何 PowerShell 指令碼,系統會將這些指令碼解碼,以使其引數以更便於使用者閱讀的形式提供。
第三方工具
該連結指向 VirusTotal 入口網站上有關構件的報告。