在活動詳細資料頁面中活動的時間表索引標籤上,NSX Network Detection and Response 偵測到的威脅會使用威脅卡片呈現。
威脅卡片會顯示連線到該威脅的主機、計算的威脅分數、威脅名稱和類別、偵測成果 (如果可用)、威脅狀態和其他動作。若要查看其相關證據,請按一下
圖示以展開該卡片,如下圖所示。按一下
圖示以摺疊證據區段。
使用排序依據下拉式功能表來排序威脅卡片。從最近 (預設)、最早、最高影響和最低影響中選取。
清單上方的搜尋威脅文字方塊提供快速的即輸入即搜尋功能。它會篩選清單中的資料列,以僅顯示任何欄位中的文字與查詢字串相符的資料列。您的查詢會跨下列類別的值比對:影響、IP 位址、威脅/惡意軟體、最新活動階段、第一次出現、證據和其他主機以及郵件資訊 (對於郵件)。
若要依威脅狀態篩選顯示的威脅卡片,請切換顯示已關閉的威脅按鈕。預設值為顯示所有威脅。
威脅卡片
威脅卡片會顯示與所選取活動相關聯的所有威脅及其對應的威脅層級。
每個卡片會顯示計算的威脅影響、威脅名稱、威脅類別以及偵測成果 (如果可用)。它還會顯示威脅的狀態:OPEN
或 CLOSED
。
您可以按一下後續步驟,然後從下拉式功能表中選取一個動作。選取關閉以關閉威脅,選取開啟以重新開啟關閉的威脅,或選取管理警示以從威脅建立警示管理規則。
證據摘要區段包含針對威脅偵測到的證據和其他資料的概觀。按一下 圖示 (或該卡片中的幾乎任意位置),以展開證據詳細資料區段。
證據詳細資料
證據資料行會顯示檔案下載、特徵碼和其他類別,以及出現證據的時間戳記。
網路互動和網路 IOC 資料行會顯示外部主機的 IP 位址或網域名稱。按一下 IP 位址連結以展開網路互動側邊列。
支援資料資料行會提供偵測到事件的連結、擷取的資料連結以及威脅詳細資料的連結。