活動詳細資料頁面中的概觀索引標籤會顯示活動的摘要和互動式圖形藍圖。

下列資訊描述此索引標籤上的三個區段。

活動威脅和主機

威脅和主機區段會顯示威脅主機 Widget。

威脅 Widget 會顯示 NSX Network Detection and Response 應用程式在所選取活動中偵測到的目前威脅。威脅的嚴重性由顏色代碼表示:紅色表示高,黃色表示中,藍色表示低。指向列出的威脅名稱,而快顯視窗將顯示受影響主機的 IP 位址。按一下檢視威脅詳細資料時間表索引標籤將顯示有關活動的詳細資訊。

主機 Widget 會顯示受所選取活動影響的主機。威脅的嚴重性由顏色代碼表示:紅色表示高,黃色表示中,藍色表示低。

指向受影響主機的 IP 位址,而快顯視窗將顯示影響主機的威脅名稱。按一下檢視主機詳細資料主機索引標籤將顯示有關主機的詳細資訊。

活動攻擊階段

攻擊階段 Widget 會顯示攻擊階段,將目前活動的攻擊階段反白顯示。指向反白顯示的活動,而快顯視窗將顯示有關攻擊階段的詳細資訊。請參閱活動屬性,以取得攻擊階段的詳細資料。

活動藍圖

活動藍圖 Widget 提供活動的互動式圖形表示。它會顯示活動中涉及的主機 (您的網路內部和外部)、影響它們的威脅以及可完成活動描述的其他資訊。

下列是藍圖的範例。
範例入侵圖表由周圍內容描述

此藍圖顯示下列活動。

  • 一個惡意二進位檔案下載到標籤為 172.30.4.99 的主機節點中。此活動與該主機上的使用者開啟電子郵件 (例如,存取 URL 或開啟該電子郵件中包含的附件) 一致。

  • 標籤為 172.30.4.99 的主機節點連線到標籤為 kharkiv.biz.ua 的主機名稱節點。分析報告 3958ec33 顯示從 URL http://kharkiv.biz.ua/hPpD/ 進行了下載。分析報告還顯示下載的是 PE executable application, 32-bit, Intel i386 檔案。

  • 標籤為 172.30.4.99 的主機節點連線到 Emotet command and control。伺服器是封鎖的項目 75.112.62.42

  • 標籤為 172.30.4.99 的主機節點連線到標籤為 172.30.6.2 並具有可疑資料上傳的主機節點,以及連線到標籤為 172.30.5.200172.30.5.200 並具有可疑遠端工作排程的主機節點,所有活動都與橫向移動關聯。

  • 標籤為 172.30.6.2 的主機節點連線到標籤為 172.30.5.200 並具有可疑 Kerberos 加密的主機節點,該活動與資料外流一致。

節點鍵

可能會在藍圖中顯示以下節點類型。

圖示

節點類型

說明


分析圖示

分析報告

此節點類型表示在 NSX Network Detection and Response 沙箱中引爆樣本 (檔案或 URL) 的結果。

  • 分析報告節點是使用相應分析任務 UUID 的縮寫版本來標記的。

  • 分析執行的分數範圍是使用節點右上角的顏色編碼標誌來表示。

下載的檔案圖示

下載的檔案

此節點類型表示在網路中下載的檔案。

  • 下載的檔案節點是使用相應檔案的 SHA1 雜湊縮寫版本來標記的。

主機圖示

主機

此節點類型表示網路裝置。

  • 主機節點是使用相應主機的 IP 位址來標記的。

  • 主機節點指示主機是內部主機還是外部主機。內部主機在其 IP 位址旁邊會顯示一個 家庭圖示 圖示。主機是否為內部主機,是根據私人 IP 範圍組態而確定的。

  • 影響相應主機的事件的最大影響是使用節點右上角的顏色編碼標誌表示的。

資訊圖示

資訊

此節點類型表示偵測的資訊級活動。此節點僅顯示在網路分析藍圖中。

  • 如果存在的活動或行為不一定是惡意的,但提供額外的有用資訊,則會建立資訊事件。

  • 為相應威脅偵測到的事件的最大影響是使用節點右上角的顏色編碼標誌表示的。

威脅圖示

威脅

此節點類型表示偵測。

  • 威脅節點是使用與偵測到的事件關聯的威脅名稱標記的。

  • 為相應威脅偵測到的事件的最大影響是使用節點右上角的顏色編碼標誌表示的。

關於邊

連接節點的線條稱為邊。

主機節點會以虛線連線到威脅或分析報告節點,以指出與該主機節點對應的主機暴露於威脅或分析報告節點表示的威脅。

其他連線則以實線表示,以表示某些活動 (例如,網路連線、DNS 查詢或 Web 要求) 將與兩個節點對應的實體相關聯。

藍圖互動

藍圖是互動式:支援項目選取、移動節點以及放大和縮小。

按一下節點和邊可加以選取:您可以在側邊列中找到有關所選項目的其他資訊。

將滑鼠暫留在節點上,會為該連接的邊加上顏色,將該節點的互動反白顯示。

可以將個別節點拖曳到圖表上的新位置。可以平移整個圖表,有效地變更視角。

可以捲動滑鼠滾輪以放大和縮小圖表。較高的縮放層級可顯示更多詳細資料。特別是,與數個節點類型搭配使用以傳達影響資訊的徽章,可以使用實際影響分數為其增添資訊。

活動側邊列

活動側邊列用於顯示與藍圖的一或多個元素相關的資訊。其預設會最小化。

  • 按一下 詳細資料圖示 圖示以檢視節點或邊資訊。

  • 按一下 外部連結圖示 圖示以檢視第三方工具。

若要將側邊列最小化,請按一下 向右箭頭圖示 圖示。

節點或邊資訊

節點/邊資訊索引標籤會提供有關藍圖中選定的節點或邊的其他資訊。若要選取節點,請在圖表中按一下其圖示。

節點類型

資訊

分析報告

有關分析報告的其他資訊。

報告詳細資料:

  • 分析報告 - 顯示工作 UUID 和分數。按一下 鏈圖示 圖示,以在新瀏覽器索引標籤中檢視分析報告。

  • MD5 - 檔案雜湊值。

  • SHA1 - 檔案雜湊值。

  • 大小 - 檔案大小,以位元組為單位。

  • 類別 - 分析檔案所屬的類別。

  • 類型 - 有關檔案的更詳細資訊。

分析樣本的觀察詳細資料:

  • 下載次數 - 觀察到下載分析檔案的次數。

  • 主機 - 下載分析檔案的主機 IP 位址。

  • URL - 下載的檔案的完整 URL。

下載的檔案

有關下載的檔案的其他資訊

檔案詳細資料:

  • MD5 - 檔案雜湊值。

  • SHA1 - 檔案雜湊值。

  • 大小 - 檔案大小,以位元組為單位。

  • 類別 - 分析檔案所屬的類別。

  • 類型 - 有關檔案的更詳細資訊。

觀察詳細資料:

  • 下載次數 - 觀察到下載分析檔案的次數。

  • 下載主機 - 下載分析檔案的主機 IP 位址。

  • URL - 下載的檔案的完整 URL。

  • 報告 - 顯示報告狀態、工作 UUID 和分數。按一下 鏈圖示 圖示,以在新瀏覽器索引標籤中檢視分析報告。

主機

有關主機的其他資訊。

主機層級詳細資料:

  • IP 位址 - 地理位置圖或本機網路圖示。

  • 主機名稱 - 主機的網域名稱。

  • 服務 - 在主機上偵測到的任何服務。

涉及主機的事件:

  • 事件數 - 所有事件的計數。

  • 最大影響 - 指出所有事件的最大影響。

  • 威脅 - 偵測到的事件清單。

註解會指出主機是在監控的網路內部還是外部

HTTP 要求

有關 HTTP 要求的其他資訊。

URL 詳細資料:

  • 下載 URL - 在 HTTP 要求中觀察到的 URL。

  • 下載 IP - 為 HTTP 要求解析的 IP 位址。按一下 網路分析圖示 圖示,以在網路分析中檢視要求 IP 位址。

要求詳細資料

  • 要求數 - 觀察到 HTTP 要求的次數。

  • 主機 - 發出 HTTP 要求的主機 IP 位址。

  • 推薦者 - 在 HTTP 要求中觀察到的 "referer" 標頭值。

  • 使用者代理程式 - 在 HTTP 要求中觀察到的 User-agent 值。

威脅

有關威脅的其他資訊。

威脅詳細資料:

  • 威脅類別 - 偵測到威脅類別的名稱。例如,command&control

  • 威脅 - 偵測到威脅的名稱。例如,Loki Bot

  • 嚴重性 - 計算的威脅分數。

  • 資訊 - 偵測到的威脅描述

按一下邊時,將顯示有關連線的下列資訊:

  • 來源節點 - 連線的來源。這可以是節點名稱、IP 位址、網域名稱等。

  • 目標節點 - 連線的目的地。這可以是節點名稱、IP 位址、網域名稱等。

來源節點目標節點下,是連線的實際來源或目標。按一下 展開圖示 圖示以展開來源或目標。

第三方工具

第三方工具索引標籤會連結到外部工具,其可能提供有關圖表中所選取實體的其他資訊。目前支援的工具是 DomainToolsVirusTotal

支援下列搜尋:

  • 選取主機節點,可讓您在 DomainTools 和 VirusTotal 上搜尋對應的 IP 位址。

  • 選取主機節點,可讓您在 DomainTools 和 VirusTotal 上搜尋對應的網域名稱。

  • 選取下載的檔案節點,可讓您在 VirusTotal 上搜尋對應的雜湊。

  • 選取 HTTP 要求節點,可讓您在 DomainTools 和 VirusTotal 上搜尋要求的主機名稱。