在NSX Network Detection and Response事件頁面的偵測事件 Widget 中按一下項目資料列時,可以存取事件摘要側邊列。
下列區段描述您在此側邊列上看到的項目。在上方區段後方,後續區段會顯示支援資料。只有在相關的資料可用時,才會顯示某些區段。
- 上方區段
-
側邊列上方包括下列項目:
-
若要關閉側邊列,請按一下 圖示。
若要在事件設定檔頁面中檢視事件,請按一下詳細資料 。如需詳細資訊,請參閱事件設定檔頁面。
如果可用,將提供事件的簡短描述。包括系統標記此事件的原因,識別與此事件相關聯的威脅或惡意軟體,並簡短描述偵測到的活動。
-
- 威脅詳細資料
-
此區段包括下列資訊。
威脅詳細資料名稱
說明
威脅
偵測到安全性風險的名稱。
威脅類別
偵測到安全性風險類別的名稱。
事件偵測器
事件偵測器的名稱。按一下連結以檢視偵測器快顯視窗。如需詳細資料,請參閱偵測器說明文件快顯視窗。
如果事件沒有偵測器,則不會顯示此區段。
影響
影響值會指出偵測到威脅的嚴重程度,且範圍為 1-100
70 或更高的威脅將視為嚴重。
30-69 之間的威脅將視為中等風險。
1-29 之間的威脅將視為良性。
動作
感應器執行的動作清單 (例如,任何封鎖活動、是否記錄事件、是否擷取流量或解壓縮惡意軟體下載)。
成果
事件的成果。在多數情況下,這是偵測。
對於 Info 事件以及從 Info 狀態升階的事件,一個額外的標籤可提供其狀態/狀態變更的原因。將滑鼠暫留在該標籤上時,將顯示一個快顯視窗,提供有關原因的其他詳細資料。
第一次出現/上次出現
具有證據第一次和上次出現時的時間戳記的圖表。
持續時間資訊會顯示在圖表下方。
- 事件流量
-
事件流量 Widget 會提供在事件中涉及的主機之間觀察到的流量概觀。事件中涉及的至少一個主機是監控的主機。通訊主機可以是受監控的主機或外部系統。如果資料可用,將顯示用於檢視擷取的流量的連結。
箭頭會指出主機之間的流量方向。
對於每個主機,將顯示 IP 位址。如果主機是本機,則位址是您可以按一下檢視主機設定檔頁面的連結。可能會顯示地理位置標記、 或 。可能會顯示多個標記或圖示。如果可用,則顯示主機名稱。如果可以從 DHCP 流量監控中取得,則顯示主機的 MAC 位址。顯示套用於主機的任何主機標記。如果可用,請按一下 ,以在 WHOIS 快顯視窗中檢視主機詳細資料。
- 事件證據
-
事件證據區段會列出在分析事件時觀察到的各種動作。如需詳細資料,請按一下事件詳細資料連結以檢視事件證據。
動作包括特徵碼、信譽、異常行為、檔案下載、URL 路徑比對、驗證、異常等。如果提供,請按一下連結以檢視對應的偵測器快顯視窗。將針對每個動作顯示一個信賴度值。
- 惡意軟體識別
-
如果已啟用 NSX 惡意程式碼防護 應用程式,則會顯示偵測到的惡意軟體的摘要。如需詳細資料,請按一下分析報告 連結,檢視分析報告。如需詳細資訊,請參閱使用分析報告。
詳細資料名稱
說明
防毒類別
定義下載的檔案防毒類別的標籤。
防毒系列
定義下載的檔案防毒系列的標籤。
惡意軟體
定義下載的檔案惡意軟體類型的標籤。如果標籤有 圖示,您可以按一下該圖示以查看快顯說明。
行為概觀
下載的檔案偵測到的行為。如果有很多資料,則預設會顯示部分清單。按一下展開以查看詳細資料 ,以檢視更多內容。按一下摺疊以查看較少資料 ,以再次切換為關閉。
- 事件 URL
-
事件 URL 區段會顯示在事件中偵測到的所有 URL。只有在事件與一個 URL 相關聯時,才會顯示此區段
- 事件中繼資料
-
事件中繼資料區段會顯示下列資料。
資料名稱
說明
相關事件
按一下 ,檢視相關事件 (如果可用)。
連線
事件中包含的連線數。
相關活動
按一下 ,檢視相關活動 (如果可用)。