NSX Network Detection and Response UI 的分析報告頁面中的概觀索引標籤會提供 NSX Advanced Threat Prevention 服務分析的檔案分析結果的摘要。
若要將偵測到的檔案下載到您的本機機器,請按一下畫面右側的 。從下拉式功能表中,選取下載檔案或以 ZIP 格式下載。
如果您選取以 ZIP 格式下載,則會顯示以 Zip 格式下載檔案快顯視窗,提示您為封存檔提供可選的密碼。按一下下載以完成下載 .ZIP 檔案。
NSX Network Detection and Response 應用程式僅會允許您在特定情況下下載偵測到的檔案。
如果構件被視為低風險,則會顯示 ,而您可以將其下載到您的本機機器。
如果構件被視為有風險,則不會顯示 ,除非您的授權具有 ALLOW_RISKY_ARTIFACT_DOWNLOADS
功能。
您必須注意,開啟構件時可能會造成危害。
NSX Network Detection and Response 介面可能會顯示警告:下載惡意檔案快顯視窗。按一下我同意按鈕以接受條件並下載檔案。
對於惡意構件,您可能希望將檔案封裝在 ZIP 封存檔中,以防止監控您的流量的其他解決方案自動檢查該威脅。
如果您沒有 ALLOW_RISKY_ARTIFACT_DOWNLOADS
功能並需要能夠下載惡意構件,請與 VMware 支援聯絡。
分析概觀區段
- MD5 - 檔案的 MD5 雜湊。若要在您的網路中搜尋此構件的其他執行個體,請按一下 <搜尋圖示>。
- SHA1 - 檔案的 SHA1 雜湊。
- SHA256 - 檔案的 SHA256 雜湊。
- MIME 類型 - 用於識別檔案中資料類型的標籤。
- 提交 - 提交時間戳記
威脅層級區段
威脅層級區段會從分析結果的摘要開始:發現檔案 md5 雜湊是惡意/良性。
- 風險評估
-
此區段會顯示風險評估結果。
- 惡意分數 - 設定滿分為 100 的分數。
- 風險估計 - 估計此構件造成的風險:
- 高 - 此構件任現嚴重風險,且您必須優先解決。此類主體通常是包含漏洞的特洛伊木馬檔案或文件,從而導致受感染系統遭到嚴重破壞。風險是多方面的:從資訊洩漏到系統功能失效。這些風險有一部分是從偵測到的活動類型推斷的。此類別的分數臨界值通常大於 70。
- 中 - 此構件呈現長期風險,且您必須密切監控。它可能是包含可疑內容的網頁,可能導致偷渡式下載嘗試。它也可能是廣告軟體或假冒防毒產品,其不會立即產生嚴重威脅,但可能會導致系統執行出現問題。此類別的分數臨界值通常為 30-70。
- 低 - 此構件將視為良性,您可以忽略它。此類別的分數臨界值通常低於 30。
-
防毒類別 - 構件所屬的防毒或惡意軟體類別。例如,特洛伊木馬、蠕蟲、廣告軟體、勒索軟體、間諜軟體等。
-
防毒系列 - 構件所屬的防毒或惡意軟體系列。例如,valyria、darkside 等。若要搜尋此系列的其他執行個體,請按一下搜尋圖示。
- 分析概觀
-
顯示的資訊會依嚴重性排序,並包括下列屬性:
- 嚴重性 - 在構件分析期間偵測到的活動的惡意程度,分數為 0-100。額外的圖示會指出可能執行該構件的作業系統。
- 類型 - 在構件分析期間偵測到的活動類型。這些類型包括:
- 自動啟動 - 能夠在電腦關閉後重新啟動。
- 停用 - 能夠停用系統的關鍵元件。
- 規避 - 能夠規避分析環境。
- 檔案 - 對檔案系統的可疑活動。
- 記憶體 - 系統記憶體內的可疑活動。
- 網路 - 網路層級的可疑活動。
- 信譽 - 已知來源或由信譽良好的組織簽署。
- 設定 - 能夠永久變更關鍵系統設定。
- 特徵碼 - 惡意主體識別。
- 竊取 - 能夠存取並可能會洩漏敏感資訊。
- 隱藏 - 能夠保持不被使用者注意到。
- 靜默 - 良性主體識別。
- 描述 - 對分析構件期間偵測到的每種類型活動對應的描述。
- ATT&CK 策略 - 攻擊的一或多個 MITRE ATT&CK 階段。多個戰略會以逗號分隔。
- ATT&CK 技術 - 觀察到惡意行為者可能使用的動作或工具。多個技術會以逗號分隔。
- 連結 - 若要搜尋此活動的其他執行個體,請按一下搜尋圖示。
- 其他構件
-
此區段列出在分析提交的樣本期間觀察到的其他構件 (檔案和 URL),並提交這些構件以進行深入分析。此區段包括下列屬性:
- 描述 - 描述其他構件。
- SHA1 - 其他構件的 SHA1 雜湊。
- 內容類型 - 其他構件的 MIME 類型。
- 分數 - 其他構件的惡意分數。若要檢視相關聯的分析報告,請按一下 。
- 解碼的命令列引數
- 如果在分析期間執行了任何 PowerShell 指令碼,系統會將這些指令碼解碼,以使其引數以更便於使用者閱讀的形式提供。
- 第三方工具
- 該連結指向 VirusTotal 入口網站上有關構件的報告。