NSX Network Detection and Response事件頁面的偵測事件 Widget 中按一下項目資料列時,可以存取事件摘要側邊列。

下列區段描述您在此側邊列上看到的項目。在上方區段後方,後續區段會顯示支援資料。只有在相關的資料可用時,才會顯示某些區段。

上方區段

側邊列上方包括下列項目:

  • 若要關閉側邊列,請按一下 關閉圖示 圖示。

  • 若要在事件設定檔頁面中檢視事件,請按一下詳細資料 向右箭頭。如需詳細資訊,請參閱事件設定檔頁面

  • 如果可用,將提供事件的簡短描述。包括系統標記此事件的原因,識別與此事件相關聯的威脅或惡意軟體,並簡短描述偵測到的活動。

威脅詳細資料

此區段包括下列資訊。

威脅詳細資料名稱

說明

威脅

偵測到安全性風險的名稱。

威脅類別

偵測到安全性風險類別的名稱。

事件偵測器

事件偵測器的名稱。按一下連結以檢視偵測器快顯視窗。如需詳細資料,請參閱偵測器說明文件快顯視窗

如果事件沒有偵測器,則不會顯示此區段。

影響

影響值會指出偵測到威脅的嚴重程度,且範圍為 1-100

  • 70 或更高的威脅將視為嚴重。

  • 30-69 之間的威脅將視為中等風險。

  • 1-29 之間的威脅將視為良性。

動作

感應器執行的動作清單 (例如,任何封鎖活動、是否記錄事件、是否擷取流量或解壓縮惡意軟體下載)。

成果

事件的成果。在多數情況下,這是偵測。

對於 Info 事件以及從 Info 狀態升階的事件,一個額外的標籤可提供其狀態/狀態變更的原因。將滑鼠暫留在該標籤上時,將顯示一個快顯視窗,提供有關原因的其他詳細資料。

第一次出現/上次出現

具有證據第一次和上次出現時的時間戳記的圖表。

持續時間資訊會顯示在圖表下方。

事件流量

事件流量 Widget 會提供在事件中涉及的主機之間觀察到的流量概觀。事件中涉及的至少一個主機是監控的主機。通訊主機可以是受監控的主機或外部系統。如果資料可用,將顯示用於檢視擷取的流量的連結。

箭頭會指出主機之間的流量方向。

對於每個主機,將顯示 IP 位址。如果主機是本機,則位址是您可以按一下檢視主機設定檔頁面的連結。可能會顯示地理位置標記、本機圖示網路圖示。可能會顯示多個標記或圖示。如果可用,則顯示主機名稱。如果可以從 DHCP 流量監控中取得,則顯示主機的 MAC 位址。顯示套用於主機的任何主機標記。如果可用,請按一下 WHOIS 圖示,以在 WHOIS 快顯視窗中檢視主機詳細資料。

事件證據

事件證據區段會列出在分析事件時觀察到的各種動作。如需詳細資料,請按一下事件詳細資料連結以檢視事件證據。

動作包括特徵碼、信譽、異常行為、檔案下載、URL 路徑比對、驗證、異常等。如果提供,請按一下連結以檢視對應的偵測器快顯視窗。將針對每個動作顯示一個信賴度值。

惡意軟體識別

如果已啟用 NSX 惡意程式碼防護 應用程式,則會顯示偵測到的惡意軟體的摘要。如需詳細資料,請按一下分析報告 向右箭頭 連結,檢視分析報告。如需詳細資訊,請參閱使用分析報告

詳細資料名稱

說明

防毒類別

定義下載的檔案防毒類別的標籤。

防毒系列

定義下載的檔案防毒系列的標籤。

惡意軟體

定義下載的檔案惡意軟體類型的標籤。如果標籤有 標記圖示 圖示,您可以按一下該圖示以查看快顯說明。

行為概觀

下載的檔案偵測到的行為。如果有很多資料,則預設會顯示部分清單。按一下展開以查看詳細資料 向下箭頭,以檢視更多內容。按一下摺疊以查看較少資料 向上箭頭,以再次切換為關閉。

事件 URL

事件 URL 區段會顯示在事件中偵測到的所有 URL。只有在事件與一個 URL 相關聯時,才會顯示此區段

事件中繼資料

事件中繼資料區段會顯示下列資料。

資料名稱

說明

相關事件

按一下 連結圖示,檢視相關事件 (如果可用)。

連線

事件中包含的連線數。

相關活動

按一下 連結圖示,檢視相關活動 (如果可用)。