NSX Network Detection and Response 提供了篩選機制,讓您能夠專注處理感興趣的特定事件集資訊。您可以選擇是否使用篩選器。

程序

  1. 事件集頁面中,按一下 展開圖示 以展開篩選器 Widget。
  2. 按一下篩選對象文字方塊中的任意位置,然後從下拉式功能表中選取某個項目。
    您可以從以下可用的篩選器中進行選取。若要進一步縮小所顯示資訊的聚焦範圍,可合併使用多個篩選器。
    篩選器名稱 說明
    活動 UUID

    依活動 UUID 來限制顯示的項目。這是有 32 個字元的十六進位字串,例如 7dabc0fc9b3f478a850e1089a923df3a

    或者,輸入 null 字串以選取不屬於任何活動的記錄。

    家用網路

    依家用網路設定來限制顯示的項目。從下拉式功能表中選取僅限家用網路僅限未識別的網路

    主機 IP

    將顯示的項目限制為特定的來源 IP 位址、IP 位址範圍或 CIDR 區塊。在文字方塊中輸入值。

    主機名稱

    依主機名稱來限制顯示的項目。需要提供完整的主機名稱或標籤。

    優先順序

    依優先順序狀態來限制顯示的項目。從下拉式功能表中選取感染關注清單滋擾

    讀取

    依讀取狀態來限制顯示的項目。從下拉式功能表中選取已讀未讀

    狀態

    依狀態來限制顯示的項目。從下拉式功能表中選取已處理未處理

    威脅

    依特定威脅來限制顯示的項目。從下拉式功能表中選取威脅。此功能表預先填入了分類威脅清單。

    使用功能表頂端的搜尋功能可快速尋找威脅名稱。

    威脅類別

    將顯示的項目限制為特定類別的威脅。從下拉式功能表中選取威脅類別。此功能表預先填入了類別目錄,下面列出了其中的一些類別。使用功能表頂端的搜尋功能可快速尋找類別名稱。

    • 廣告軟體:會向受感染電腦顯示或下載廣告的惡意程式碼。
    • 點擊詐騙:點擊詐騙的目標是會依點擊數付費的線上廣告。
    • 命令和控制:受感染的機器會歸屬殭屍網路,攻擊者可以遠端控制該機器。
    • 偷渡式攻擊:攻擊者嘗試利用機器上的漏洞,以便在目標系統上安裝其他惡意程式碼。
    • 漏洞利用工具組:偵測嘗試進行偷渡式下載攻擊的漏洞利用工具組。
    • 偽造 AV:偽造的防病毒軟體或其他類型的惡意安全性軟體,旨在欺騙或誤導您的使用者。

    • 不活動 C&C:此特定殭屍網路的命令和控制伺服器處於不活動狀態。
    • VMware 封鎖測試:使用 block.lastline.com 來測試網路連限的封鎖作業,選取的事件會屬於這個類別。
    • VMware 測試:使用 test.lastline.com 來測試設定的功能,選取的事件會屬於這個類別。
    • 惡意檔案下載、惡意程式碼散發和惡意程式碼下載:IP 位址或網域託管惡意可執行檔。
    • 沉洞:沉洞由合法組織運營,因此,它不會構成威脅。不過,嘗試連線到這類主機的主機可能會被感染。
    • 間諜軟體:嘗試竊取敏感資訊的惡意程式碼。
    • 可疑 DNS:可疑的 DNS 網域是指受感染機器上執行的惡意程式碼所連線到的網域。我們的專有技術能夠主動將這些網域識別為惡意網域。
    • 未知:偵測到未知的安全性風險。
  3. 若要套用所選取的篩選器,請按一下套用
  4. (選擇性) 若要刪除個別篩選器,請按一下其項目旁邊的移除– 按鈕。若要刪除所有已選取的篩選器,請按一下位於篩選器 Widget 右側的 關閉圖示 圖示。
    刪除了所有已選取的篩選器後, 篩選器 Widget 便會收合起來。