活動詳細資料頁面中的概觀索引標籤會顯示活動的摘要和互動式圖形藍圖。
下列資訊描述此索引標籤上的三個區段。
活動威脅和主機
威脅和主機區段會顯示威脅和主機 Widget。
威脅 Widget 會顯示 NSX Network Detection and Response 應用程式在所選取活動中偵測到的目前威脅。威脅的嚴重性由顏色代碼表示:紅色表示高,黃色表示中,藍色表示低。指向列出的威脅名稱,而快顯視窗將顯示受影響主機的 IP 位址。按一下檢視威脅詳細資料,時間表索引標籤將顯示有關活動的詳細資訊。
主機 Widget 會顯示受所選取活動影響的主機。威脅的嚴重性由顏色代碼表示:紅色表示高,黃色表示中,藍色表示低。
指向受影響主機的 IP 位址,而快顯視窗將顯示影響主機的威脅名稱。按一下檢視主機詳細資料,主機索引標籤將顯示有關主機的詳細資訊。
活動攻擊階段
攻擊階段 Widget 會顯示攻擊階段,將目前活動的攻擊階段反白顯示。指向反白顯示的活動,而快顯視窗將顯示有關攻擊階段的詳細資訊。請參閱活動屬性,以取得攻擊階段的詳細資料。
活動藍圖
活動藍圖 Widget 提供活動的互動式圖形表示。它會顯示活動中涉及的主機 (您的網路內部和外部)、影響它們的威脅以及可完成活動描述的其他資訊。
此藍圖顯示下列活動。
一個惡意二進位檔案下載到標籤為 172.30.4.99 的主機節點中。此活動與該主機上的使用者開啟電子郵件 (例如,存取 URL 或開啟該電子郵件中包含的附件) 一致。
標籤為 172.30.4.99 的主機節點連線到標籤為 kharkiv.biz.ua 的主機名稱節點。分析報告 3958ec33 顯示從 URL http://kharkiv.biz.ua/hPpD/ 進行了下載。分析報告還顯示下載的是 PE executable application, 32-bit, Intel i386 檔案。
標籤為 172.30.4.99 的主機節點連線到 Emotet command and control。伺服器是封鎖的項目 75.112.62.42。
標籤為 172.30.4.99 的主機節點連線到標籤為 172.30.6.2 並具有可疑資料上傳的主機節點,以及連線到標籤為 172.30.5.200 和 172.30.5.200 並具有可疑遠端工作排程的主機節點,所有活動都與橫向移動關聯。
標籤為 172.30.6.2 的主機節點連線到標籤為 172.30.5.200 並具有可疑 Kerberos 加密的主機節點,該活動與資料外流一致。
節點鍵
可能會在藍圖中顯示以下節點類型。
圖示 |
節點類型 |
說明 |
---|---|---|
|
分析報告 |
此節點類型表示在 NSX Network Detection and Response 沙箱中引爆樣本 (檔案或 URL) 的結果。
|
下載的檔案 |
此節點類型表示在網路中下載的檔案。
|
|
主機 |
此節點類型表示網路裝置。
|
|
資訊 |
此節點類型表示偵測的資訊級活動。此節點僅顯示在網路分析藍圖中。
|
|
威脅 |
此節點類型表示偵測。
|
關於邊
連接節點的線條稱為邊。
主機節點會以虛線連線到威脅或分析報告節點,以指出與該主機節點對應的主機暴露於威脅或分析報告節點表示的威脅。
其他連線則以實線表示,以表示某些活動 (例如,網路連線、DNS 查詢或 Web 要求) 將與兩個節點對應的實體相關聯。
藍圖互動
藍圖是互動式:支援項目選取、移動節點以及放大和縮小。
按一下節點和邊可加以選取:您可以在側邊列中找到有關所選項目的其他資訊。
將滑鼠暫留在節點上,會為該連接的邊加上顏色,將該節點的互動反白顯示。
可以將個別節點拖曳到圖表上的新位置。可以平移整個圖表,有效地變更視角。
可以捲動滑鼠滾輪以放大和縮小圖表。較高的縮放層級可顯示更多詳細資料。特別是,與數個節點類型搭配使用以傳達影響資訊的徽章,可以使用實際影響分數為其增添資訊。
活動側邊列
活動側邊列用於顯示與藍圖的一或多個元素相關的資訊。其預設會最小化。
-
按一下 圖示以檢視節點或邊資訊。
-
按一下 圖示以檢視第三方工具。
若要將側邊列最小化,請按一下 圖示。
節點或邊資訊
節點/邊資訊索引標籤會提供有關藍圖中選定的節點或邊的其他資訊。若要選取節點,請在圖表中按一下其圖示。
節點類型 |
資訊 |
---|---|
分析報告 |
有關分析報告的其他資訊。 報告詳細資料:
分析樣本的觀察詳細資料:
|
下載的檔案 |
有關下載的檔案的其他資訊 檔案詳細資料:
觀察詳細資料:
|
主機 |
有關主機的其他資訊。 主機層級詳細資料:
涉及主機的事件:
註解會指出主機是在監控的網路內部還是外部。 |
HTTP 要求 |
有關 HTTP 要求的其他資訊。 URL 詳細資料:
要求詳細資料
|
威脅 |
有關威脅的其他資訊。 威脅詳細資料:
|
按一下邊時,將顯示有關連線的下列資訊:
-
來源節點 - 連線的來源。這可以是節點名稱、IP 位址、網域名稱等。
-
目標節點 - 連線的目的地。這可以是節點名稱、IP 位址、網域名稱等。
在來源節點和目標節點下,是連線的實際來源或目標。按一下 圖示以展開來源或目標。
第三方工具
第三方工具索引標籤會連結到外部工具,其可能提供有關圖表中所選取實體的其他資訊。目前支援的工具是 DomainTools 和 VirusTotal。
支援下列搜尋:
-
選取主機節點,可讓您在 DomainTools 和 VirusTotal 上搜尋對應的 IP 位址。
-
選取主機節點,可讓您在 DomainTools 和 VirusTotal 上搜尋對應的網域名稱。
-
選取下載的檔案節點,可讓您在 VirusTotal 上搜尋對應的雜湊。
-
選取 HTTP 要求節點,可讓您在 DomainTools 和 VirusTotal 上搜尋要求的主機名稱。