NSX Network Detection and Response UI 的分析報告頁面中的概觀索引標籤會提供 NSX Advanced Threat Prevention 服務分析的檔案分析結果的摘要。

若要將偵測到的檔案下載到您的本機機器,請按一下畫面右側的 檔案下載圖示。從下拉式功能表中,選取下載檔案以 ZIP 格式下載

如果您選取以 ZIP 格式下載,則會顯示以 Zip 格式下載檔案快顯視窗,提示您為封存檔提供可選的密碼。按一下下載以完成下載 .ZIP 檔案。

重要:

NSX Network Detection and Response 應用程式僅會允許您在特定情況下下載偵測到的檔案。

如果構件被視為低風險,則會顯示 檔案下載圖示,而您可以將其下載到您的本機機器。

如果構件被視為有風險,則不會顯示 檔案下載圖示,除非您的授權具有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能。

您必須注意,開啟構件時可能會造成危害。

NSX Network Detection and Response 介面可能會顯示警告:下載惡意檔案快顯視窗。按一下我同意按鈕以接受條件並下載檔案。

對於惡意構件,您可能希望將檔案封裝在 ZIP 封存檔中,以防止監控您的流量的其他解決方案自動檢查該威脅。

如果您沒有 ALLOW_RISKY_ARTIFACT_DOWNLOADS 功能並需要能夠下載惡意構件,請與 VMware 支援聯絡。

分析概觀區段

備註: 如果 NSX Advanced Threat Prevention 服務在檔案分析期間遇到錯誤,則會顯示反白顯示的區塊。它包含遇到的錯誤清單。
此分析概觀區段會提供 NSX Advanced Threat Prevention 服務分析的檔案或 URL 的分析結果摘要。區段會顯示下列資料。
  • MD5 - 檔案的 MD5 雜湊。若要在您的網路中搜尋此構件的其他執行個體,請按一下 <搜尋圖示>。
  • SHA1 - 檔案的 SHA1 雜湊。
  • SHA256 - 檔案的 SHA256 雜湊。
  • MIME 類型 - 用於識別檔案中資料類型的標籤。
  • 提交 - 提交時間戳記

威脅層級區段

威脅層級區段會從分析結果的摘要開始:發現檔案 md5 雜湊是惡意/良性

然後,它會顯示下列資料:
風險評估
此區段會顯示風險評估結果。
  • 惡意分數 - 設定滿分為 100 的分數。
  • 風險估計 - 估計此構件造成的風險:
    • 高 - 此構件任現嚴重風險,且您必須優先解決。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險是多方面的:從資訊洩漏到系統功能失效。這些風險有一部分是從偵測到的活動類型推斷的。此類別的分數臨界值通常大於 70。
    • 中 - 此構件呈現長期風險,且您必須密切監控。它可能是包含可疑內容的網頁,可能導致偷渡式下載嘗試。它也可能是廣告軟體或假冒防毒產品,其不會立即產生嚴重威脅,但可能會導致系統執行出現問題。此類別的分數臨界值通常為 30-70。
    • 低 - 此構件將視為良性,您可以忽略它。此類別的分數臨界值通常低於 30。
  • 防毒類別 - 構件所屬的防毒或惡意軟體類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。

  • 防毒系列 - 構件所屬的防毒或惡意軟體系列。例如,valyria、darkside 等。若要搜尋此系列的其他執行個體,請按一下搜尋圖示。

分析概觀
顯示的資訊會依嚴重性排序,並包括下列屬性:
  • 嚴重性 - 在構件分析期間偵測到的活動的惡意程度,分數為 0-100。額外的圖示會指出可能執行該構件的作業系統。
  • 類型 - 在構件分析期間偵測到的活動類型。這些類型包括:
    • 自動啟動 - 能夠在電腦關閉後重新啟動。
    • 停用 - 能夠停用系統的關鍵元件。
    • 規避 - 能夠規避分析環境。
    • 檔案 - 對檔案系統的可疑活動。
    • 記憶體 - 系統記憶體內的可疑活動。
    • 網路 - 網路層級的可疑活動。
    • 信譽 - 已知來源或由信譽良好的組織簽署。
    • 設定 - 能夠永久變更關鍵系統設定。
    • 特徵碼 - 惡意主體識別。
    • 竊取 - 能夠存取並可能會洩漏敏感資訊。
    • 隱藏 - 能夠保持不被使用者注意到。
    • 靜默 - 良性主體識別。
  • 描述 - 對分析構件期間偵測到的每種類型活動對應的描述。
  • ATT&CK 策略 - 攻擊的一或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
  • ATT&CK 技術 - 觀察到惡意行為者可能使用的動作或工具。多個技術會以逗號分隔。
  • 連結 - 若要搜尋此活動的其他執行個體,請按一下搜尋圖示。
其他構件
此區段列出在分析提交的樣本期間觀察到的其他構件 (檔案和 URL),並提交這些構件以進行深入分析。此區段包括下列屬性:
  • 描述 - 描述其他構件。
  • SHA1 - 其他構件的 SHA1 雜湊。
  • 內容類型 - 其他構件的 MIME 類型。
  • 分數 - 其他構件的惡意分數。若要檢視相關聯的分析報告,請按一下 分析報告圖示
解碼的命令列引數
如果在分析期間執行了任何 PowerShell 指令碼,系統會將這些指令碼解碼,以使其引數以更便於使用者閱讀的形式提供。
第三方工具
該連結指向 VirusTotal 入口網站上有關構件的報告。