事件表示 NSX Network Detection and Response 偵測到在監控的網路中發生的安全相關活動。事件可能包含單個事件或多個已自動關聯且確定為密切相關的事件。事件清單會顯示登錄的事件及其相應的威脅層級。

您可以查看在您的網路中報告的所有事件:已確定為嚴重的事件、應關注的事件或被視為滋擾的事件。必須立即處理嚴重事件。未處理嚴重事件是非常危險的,並增加了您的網路中的其他主機也受到破壞的可能性。

您尚未檢查的事件標記為未讀,而已檢查的事件標記為已讀。您可以選擇事件並對它們執行動作,例如將它們標記為已讀或未讀。您還可以關閉或開啟選定的事件。

清單上方的快速搜尋文字方塊提供快速的即輸入即搜尋功能。它會篩選清單中的資料列,以僅顯示任何欄位中的文字與查詢字串相符的資料列。

使用選取下拉式功能表可取得微調的選取項目。您可以透過此功能表的選項選取所有可見的事件清除選取項目。您還可以選取已讀 (目前頁面)未讀 (目前頁面) 事件。您也可以按一下標題列中的編輯圖示以選擇所有可見的訊息。

可以使用動作下拉式功能表更新選定的事件:標記為已讀標記為未讀關閉開啟

自訂要顯示的資料列數。預設為 20 個項目。可以使用 左箭頭圖示右箭頭圖示 圖示來瀏覽多個頁面。

可以按一下額外的內容圖示以自訂要在清單中顯示的資料行。

每一列是一個事件的摘要。可以按一下加號圖示 (或項目行中的任意位置) 以存取事件詳細資料。若要選取一個訊息列,請按一下編輯圖示。

此清單依影響排序並包括以下資料行。

資料行

說明

主機

受此事件影響的主機。此資料行顯示主機的 IP 位址、主機名或標籤,具體取決於目前的顯示設定快顯視窗。

按一下 黑圈中的搜尋圖示 圖示以查看主機設定檔頁面,其中顯示有關主機的詳細資訊。

按一下 排序圖示 圖示以按主機資訊對清單進行排序。

偵測事件

構成此事件的事件數。這是一個連結,它顯示事件計數和 黑圈中的搜尋圖示 圖示。按一下此連結將載入事件頁面,此頁面進行了篩選以僅顯示此事件的事件。

按一下 排序圖示 圖示可依事件對清單進行排序。

開始

事件的開始時間。

按一下 排序圖示 圖示可依開始時間對清單進行排序。

結束

事件的結束時間。

按一下 排序圖示 圖示可依結束時間對清單進行排序。

威脅

偵測到安全性風險的名稱。

按一下 排序圖示 圖示可依威脅對清單進行排序。

威脅類別

偵測到安全性風險類別的名稱。

按一下 排序 圖示可依威脅類別對清單進行排序。

影響

影響值會指出偵測到威脅的嚴重程度,且範圍為 1 到 100:

  • 70 或更高的威脅將視為嚴重。

  • 30-69 之間的威脅被視為中等風險。

  • 1-29 之間的威脅被視為正常。

如果顯示停止圖示,表示已封鎖此構件。

此清單依影響遞減順序排序 (最嚴重的事件位於頂端)。按一下 依遞增排序 圖示以依遞增順序對清單排序 (最不嚴重的事件位於頂端),然後按一下 向下箭頭依遞減排序 圖示可切換回預設設定。

事件詳細資料

按一下事件列中的任意位置時,將在事件清單中展開 [事件詳細資料] 視圖。

事件詳細資料頂端具有很多按鈕:

  • 按一下 封存檔圖示 按鈕可關閉事件。

  • 使用動作下拉式功能表對事件執行動作:

    • 如果事件尚未關閉,可選取關閉事件封存檔圖示。否則,可選取開啟事件

    • 如果尚未讀取事件,可選取標記為已讀。否則,可選取標記為未讀

    • 選取忽略威脅。將在功能表項目中列出威脅詳細資訊。如果選取此項目,則表示對主機上存在此特定威脅不感興趣。因此,將會自動關閉在此主機上偵測到此威脅的所有事件。

    • 選取將主機 <host> 標記為已清理。系統會將事件中涉及的主機標記為已清理。因此,將關閉此主機上的所有事件。

  • 如果按一下 放大鏡圖示 查看事件詳細資料,將在新的瀏覽器索引標籤中顯示事件設定檔頁面內容。

  • 按一下管理警示將啟用管理警示側邊列。可以使用此功能隱藏或降級與指定事件關聯的無害事件,例如系統測試或封鎖相關事件。如需更多詳細資料,請參閱 使用管理警示側邊列

  • 按一下摘要圖示標記為已讀以標記事件。此按鈕將切換到標記為未讀,以使您能夠恢復其讀取狀態。

事件摘要

頂端區段提供偵測到的威脅的可視概觀,並顯示其影響分數。

事件詳細資料

事件詳細資料 Widget 顯示有關事件的詳細網路資訊。其中包括以下資料。
資料行 說明
來源 IP 事件來源的 IP 位址。可以按一下 放大鏡圖示 圖示以查看主機的活動頁面。按一下 網路分析圖示 圖示以在網路分析頁面中查看來源。
來源主機 如果可用,則顯示事件來源的 FQDN。
事件 構成此事件的事件數。
事件識別碼 指向事件設定檔頁面的永久連結。將在新的瀏覽器索引標籤/視窗中開啟此連結。
活動 ID 指向活動頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。
影響 系統為此事件套用的影響分數。
開始時間 事件開始時的時間戳記。
結束時間 事件的最後記錄事件的時間戳記。
狀態 顯示是否已關閉事件。

證據

展開的證據 Widget 會顯示 NSX Network Detection and Response 偵測到的事件清單。

按一下 三個水平列圖示 圖示以自訂要在清單中顯示的資料行。

每一列都是一個證據項目的摘要,並包括以下資料行。
資料行 說明
第一次出現

首次看到此事件時的時間戳記。

上次出現

最後看到此事件時的時間戳記。

威脅

偵測到安全性風險的名稱。

威脅類別

偵測到安全性風險類別的名稱。

影響

套用於此事件的影響分數。

證據

此事件的證據類別。證據詳細資料區塊的標題是從類別名稱取得的。

主體

要分析的構件,通常是一個檔案。

參考

指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。

證據詳細資料

按一下 圈中帶加號的圖示 圖示 (或事件項目列中的任意位置) 以顯示證據詳細資料區塊。

證據詳細資料區塊的標題是從證據類型取得的。例如,信譽證據。

此部分顯示有關證據的更詳細資訊。其中包括以下資料。
資料 說明
威脅 偵測到安全性風險的名稱。
威脅類別 偵測到安全性風險類別的名稱。
影響 套用於此事件的影響分數。
偵測器 如果存在,則顯示可識別威脅的 NSX Network Detection and Response 模組。按一下此連結以檢視 [偵測器] 快顯視窗。請參閱偵測器說明文件快顯視窗
檢視網路事件 指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。
檢視網路事件 指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。
第一次出現 首次看到此事件時的時間戳記。
上次出現 最後看到此事件時的時間戳記。
嚴重性 估計偵測到威脅的嚴重程度。例如,對命令和控制伺服器的連線通常會視為高嚴重性,因為該連線可能有破壞性。
信賴度 指出偵測到的個別威脅確實是惡意的可能性。由於系統使用進階啟發式方法來偵測未知威脅,在某些情況下,如果該特定威脅的可用資訊量有限,則偵測到的威脅可能會有較低的信賴度值。
主體 如果存在,則顯示要分析的構件,通常是一個檔案。

如需其他詳細資訊,請參閱關於證據