使用惡意程式碼防護儀表板,以深入查看在資料中心所擷取之檔案的事件詳細資料,以便進行更深入的監控和分析。
儀表板可以顯示過去 14 天內的檔案事件。如需分散式防火牆和閘道防火牆支援的檔案事件數上限的相關資訊,請參閱「VMware 組態上限」工具,網址為 https://configmax.vmware.com/home。
檔案事件 (檔案檢查) 的相關資訊會顯示在兩個索引標籤頁面中。
- [潛在惡意程式碼] 頁面
-
顯示特定期間內在資料中心擷取的惡意檔案、可疑檔案和未檢查 (列入允許清單) 的檔案等的彙總事件詳細資料。
氣泡圖中的氣泡代表在資料中心擷取的唯一檔案。檔案會以其檔案雜湊作為唯一識別。氣泡內的顏色和圖形表示檔案是惡意檔案、可疑檔案,還是未檢查 (列入允許清單) 的檔案。
表格中的資料列代表一個檔案。氣泡上的數字表示針對該檔案所算出的威脅分數。分數範圍為 0 到 100,表示與該檔案相關聯的風險或惡意意圖程度。威脅分數越高,表示風險越大,反之亦然。例如:- 良性檔案的分數範圍為 0–29。
- 可疑檔案的分數範圍為 30–69。
- 惡意檔案的分數範圍為 70–100。
- 未檢查的檔案分數為 -1。
如果檔案的判定結果為惡意或可疑,則會顯示該檔案的惡意程式碼系列和惡意程式碼類別。單一檔案可以屬於多個惡意程式碼系列和惡意程式碼類別。但是,如果 NSX-T 不知道檔案的惡意程式碼系列和惡意程式碼類別,則不會在 UI 中顯示此資訊。
備註: 對於每個檔案,會彙總其事件詳細資料 (檢查詳細資料),並顯示在儀表板上。例如,如果單一檔案在資料中心檢查了五次,則會產生五個檔案事件。也就是說,檔案的檢查次數為 5。但是,此檔案在氣泡圖中會以單一氣泡顯示,在表格中則顯示為單一資料列。當您用滑鼠指向一個氣泡時,會顯示對檔案執行的檢查摘要。同樣地,當您在表格中展開檔案的資料列時,會顯示最近檔案檢查的詳細資料。但是,此檔案所有之前的檢查歷史記錄都會保留,以供您查看。下表說明氣泡圖上所用圖示的含義。圖示 含義
時間表上的小氣泡表示對檔案的一次檢查。
時間表上的大氣泡代表對單一檔案進行的多次檢查。
範例:假設在三天內在五個客體虛擬機器上擷取了一個 .exe 檔案,且 NSX 將此檔案判斷為可疑。在這種情況下,對資料中心內的 .exe 檔案進行了五次唯一檔案檢查。在上次檢查時間戳記的可疑時間表上會顯示一個大氣泡。您可以按一下氣泡,檢視此 .exe 檔案所有五次檢查的歷程記錄。
時間表上的一組氣泡代表多次唯一檔案檢查,且其判定結果相同。
範例:假設同時 (或幾乎同時) 從資料中心的南北向流量中擷取了四個唯一的 .docx 檔案:A、B、C 和 D,且 NSX 將所有這些檔案都判斷為惡意。這所有四個檔案的氣泡會集結在一起,並顯示在氣泡圖的惡意時間表上。
- [所有檔案] 頁面
- 顯示表格式視圖,其中含有在資料中心擷取的所有唯一檔案 (包括良性檔案)。換句話說,此頁面會顯示所有唯一檔案,而不考慮檔案的判定結果。展開表格中的資料列,以檢視該檔案上次檢查的詳細資料。
必要條件
- 已在 NSX Application Platform 中成功啟動 NSX 惡意程式碼防護功能。
- 已在 ESXi 主機叢集或第 1 層閘道或兩者上啟動 NSX 惡意程式碼防護功能,這取決於您的安全需求。