事件表示 NSX Network Detection and Response 偵測到在監控的網路中發生的安全相關活動。事件可能包含單個事件或多個已自動關聯且確定為密切相關的事件。事件清單會顯示登錄的事件及其相應的威脅層級。
您可以查看在您的網路中報告的所有事件:已確定為嚴重的事件、應關注的事件或被視為滋擾的事件。必須立即處理嚴重事件。未處理嚴重事件是非常危險的,並增加了您的網路中的其他主機也受到破壞的可能性。
您尚未檢查的事件標記為未讀,而已檢查的事件標記為已讀。您可以選擇事件並對它們執行動作,例如將它們標記為已讀或未讀。您還可以關閉或開啟選定的事件。
清單上方的快速搜尋文字方塊提供快速的即輸入即搜尋功能。它會篩選清單中的資料列,以僅顯示任何欄位中的文字與查詢字串相符的資料列。
使用選取下拉式功能表可取得微調的選取項目。您可以透過此功能表的選項選取所有可見的事件或清除選取項目。您還可以選取已讀 (目前頁面) 或未讀 (目前頁面) 事件。您也可以按一下標題列中的編輯圖示以選擇所有可見的訊息。
可以使用動作下拉式功能表更新選定的事件:標記為已讀、標記為未讀、關閉或開啟。
自訂要顯示的資料列數。預設為 20 個項目。可以使用 和 圖示來瀏覽多個頁面。
可以按一下額外的內容圖示以自訂要在清單中顯示的資料行。
每一列是一個事件的摘要。可以按一下加號圖示 (或項目行中的任意位置) 以存取事件詳細資料。若要選取一個訊息列,請按一下編輯圖示。
此清單依影響排序並包括以下資料行。
資料行 |
說明 |
---|---|
主機 |
受此事件影響的主機。此資料行顯示主機的 IP 位址、主機名或標籤,具體取決於目前的顯示設定快顯視窗。 按一下 圖示以查看主機設定檔頁面,其中顯示有關主機的詳細資訊。 按一下 圖示以按主機資訊對清單進行排序。 |
偵測事件 |
構成此事件的事件數。這是一個連結,它顯示事件計數和 圖示。按一下此連結將載入事件頁面,此頁面進行了篩選以僅顯示此事件的事件。 按一下 圖示可依事件對清單進行排序。 |
開始 |
事件的開始時間。 按一下 圖示可依開始時間對清單進行排序。 |
結束 |
事件的結束時間。 按一下 圖示可依結束時間對清單進行排序。 |
威脅 |
偵測到安全性風險的名稱。 按一下 圖示可依威脅對清單進行排序。 |
威脅類別 |
偵測到安全性風險類別的名稱。 按一下 排序 圖示可依威脅類別對清單進行排序。 |
影響 |
影響值會指出偵測到威脅的嚴重程度,且範圍為 1 到 100:
如果顯示停止圖示,表示已封鎖此構件。 此清單依影響遞減順序排序 (最嚴重的事件位於頂端)。按一下 圖示以依遞增順序對清單排序 (最不嚴重的事件位於頂端),然後按一下 向下箭頭 圖示可切換回預設設定。 |
事件詳細資料
按一下事件列中的任意位置時,將在事件清單中展開 [事件詳細資料] 視圖。
事件詳細資料頂端具有很多按鈕:
-
按一下 按鈕可關閉事件。
-
使用動作下拉式功能表對事件執行動作:
-
如果事件尚未關閉,可選取關閉事件。否則,可選取開啟事件。
-
如果尚未讀取事件,可選取標記為已讀。否則,可選取標記為未讀。
-
選取忽略威脅。將在功能表項目中列出威脅詳細資訊。如果選取此項目,則表示對主機上存在此特定威脅不感興趣。因此,將會自動關閉在此主機上偵測到此威脅的所有事件。
-
選取將主機 <host> 標記為已清理。系統會將事件中涉及的主機標記為已清理。因此,將關閉此主機上的所有事件。
-
-
如果按一下 查看事件詳細資料,將在新的瀏覽器索引標籤中顯示事件設定檔頁面內容。
-
按一下管理警示將啟用管理警示側邊列。可以使用此功能隱藏或降級與指定事件關聯的無害事件,例如系統測試或封鎖相關事件。如需更多詳細資料,請參閱 使用管理警示側邊列。
-
按一下標記為已讀以標記事件。此按鈕將切換到標記為未讀,以使您能夠恢復其讀取狀態。
事件摘要
頂端區段提供偵測到的威脅的可視概觀,並顯示其影響分數。
事件詳細資料
資料行 | 說明 |
---|---|
來源 IP | 事件來源的 IP 位址。可以按一下 圖示以查看主機的活動頁面。按一下 圖示以在網路分析頁面中查看來源。 |
來源主機 | 如果可用,則顯示事件來源的 FQDN。 |
事件 | 構成此事件的事件數。 |
事件識別碼 | 指向事件設定檔頁面的永久連結。將在新的瀏覽器索引標籤/視窗中開啟此連結。 |
活動 ID | 指向活動頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。 |
影響 | 系統為此事件套用的影響分數。 |
開始時間 | 事件開始時的時間戳記。 |
結束時間 | 事件的最後記錄事件的時間戳記。 |
狀態 | 顯示是否已關閉事件。 |
證據
展開的證據 Widget 會顯示 NSX Network Detection and Response 偵測到的事件清單。
按一下 圖示以自訂要在清單中顯示的資料行。
資料行 | 說明 |
---|---|
第一次出現 | 首次看到此事件時的時間戳記。 |
上次出現 | 最後看到此事件時的時間戳記。 |
威脅 | 偵測到安全性風險的名稱。 |
威脅類別 | 偵測到安全性風險類別的名稱。 |
影響 | 套用於此事件的影響分數。 |
證據 | 此事件的證據類別。證據詳細資料區塊的標題是從類別名稱取得的。 |
主體 | 要分析的構件,通常是一個檔案。 |
參考 | 指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。 |
證據詳細資料
按一下 圖示 (或事件項目列中的任意位置) 以顯示證據詳細資料區塊。
證據詳細資料區塊的標題是從證據類型取得的。例如,信譽證據。
資料 | 說明 |
---|---|
威脅 | 偵測到安全性風險的名稱。 |
威脅類別 | 偵測到安全性風險類別的名稱。 |
影響 | 套用於此事件的影響分數。 |
偵測器 | 如果存在,則顯示可識別威脅的 NSX Network Detection and Response 模組。按一下此連結以檢視 [偵測器] 快顯視窗。請參閱偵測器說明文件快顯視窗。 |
檢視網路事件 | 指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。 |
檢視網路事件 | 指向事件頁面的永久連結。將在新的瀏覽器索引標籤中開啟此連結。 |
第一次出現 | 首次看到此事件時的時間戳記。 |
上次出現 | 最後看到此事件時的時間戳記。 |
嚴重性 | 估計偵測到威脅的嚴重程度。例如,對命令和控制伺服器的連線通常會視為高嚴重性,因為該連線可能有破壞性。 |
信賴度 | 指出偵測到的個別威脅確實是惡意的可能性。由於系統使用進階啟發式方法來偵測未知威脅,在某些情況下,如果該特定威脅的可用資訊量有限,則偵測到的威脅可能會有較低的信賴度值。 |
主體 | 如果存在,則顯示要分析的構件,通常是一個檔案。 |
如需其他詳細資訊,請參閱關於證據。