事件設定檔頁面可從事件摘要側邊列上方的詳細資料 向右箭頭 按鈕存取。

在檢視上方有許多控制項和按鈕:

  • 按一下類似事件以檢視類似功能的下拉式清單。按一下每個選項旁邊的 方塊中的核取記號圖示 圖示,以選取目的地目的地連接埠來源 IP傳輸通訊協定威脅類別威脅類型。然後按一下檢視事件 鏈圖示,以在新索引標籤中檢視選取的事件。

  • 按一下管理警示以啟動管理警示側邊列。使用該功能可以隱藏或降級無害的事件 (例如系統測試或封鎖事件),或將自訂分數套用於特定的事件。如需詳細資料,請參閱使用管理警示側邊列

  • 按一下 圓圈中的減號圖示 圖示,以摺疊所有欄位,或按一下 圓圈中的加號圖示 圖示,以展開所有欄位。

事件概觀

上方區段提供 NSX Network Detection and Response 應用程式偵測到的威脅或惡意軟體的視覺概觀,並顯示威脅類別和威脅影響分數。

事件摘要

事件摘要區段會說明 NSX Network Detection and Response 應用程式標記此事件的原因,識別與此事件相關聯的威脅或惡意軟體,簡短描述偵測到的活動,並顯示支援資料。

如果可以從 NSX Advanced Threat Prevention 雲端服務取得,則會在事件摘要區段上方顯示事件的說明,以及將其視為惡意的原因。

伺服器封鎖

伺服器封鎖會顯示下列資料。

資料

說明

主機名稱

如果可用,則顯示伺服器的 FQDN。

IP 位址

伺服器的 IP 位址。可能會顯示地理位置標記。如果有 鎖鏈圖示 圖示,請按一下連結以在主機設定檔頁面中檢視詳細資料。

如果可用,請按一下 標記圖示 圖示,以查看用戶端的信譽標記。

如果可用,請按一下 地球圖示 圖示,以在 WHOIS 快顯視窗中檢視有關主機的註冊資訊和其他資料。

MAC 位址

如果可用,則顯示伺服器的 MAC 位址。此位址是透過監控 DHCP 流量取得,並且是系統用於產生唯一 HostID 項目的資料點之一,其與網路中的特定主機對應,而不論其 IP 位址為何。

用戶端封鎖

用戶端封鎖會顯示下列資料。

資料

說明

主機名稱

如果可用,則顯示用戶端的 FQDN。

IP 位址

用戶端的 IP 位址。可能會顯示地理位置標記。如果可用,請按一下位址或 鎖鏈圖示 圖示以檢視主機設定檔頁面。

如果可用,請按一下 標記圖示 圖示,以查看用戶端的信譽標記。

如果可用,請按一下 地球圖示 圖示,以在 WHOIS 快顯視窗中檢視有關主機的註冊資訊和其他資料。

MAC 位址

如果可用,則顯示用戶端的 MAC 位址。此位址是透過監控 DHCP 流量取得,並且是系統用於產生唯一 HostID 項目的資料點之一,其與網路中的特定主機對應,而不論其 IP 位址為何。

事件中繼資料

事件中繼資料區段會顯示下列資料。

資料

說明

驗證成果

指出事件成果。可能的值如下。

  • 已封鎖:NSX Network Detection and Response 應用程式或第三方應用程式已封鎖威脅。

  • 已失敗:威脅未達到其目標。這可能是由 C&C 伺服器離線、攻擊者造成的程式碼編寫錯誤等導致。

  • 已成功:確認威脅已達到其目標。這可能是對 C&C 伺服器已完成的簽入嘗試,並從惡意端點接收資料。

如果事件成果不明,則不會顯示此欄位。

驗證程式名稱

事件驗證程式的名稱。按一下連結以存取驗證器說明文件快顯視窗。

驗證程式訊息

來自驗證程式的訊息,它提供有關成果的進一步資訊,例如,哪個第三方應用程式封鎖了威脅。

感應器

偵測到事件的感應器。

連線

事件中包含的連線數。

動作

感應器執行的動作清單 (例如,任何封鎖活動、是否記錄事件、是否擷取流量或解壓縮惡意軟體下載)。

登入的使用者

在登入記錄中偵測到使用者清單。

成果

事件的成果。在多數情況下,成果是 DETECTION

對於 INFO 事件以及從 INFO 狀態升階的事件,一個額外的標籤可提供其狀態/狀態變更的原因。將滑鼠暫留在該標籤上時,將顯示一個快顯視窗,提供有關原因的其他詳細資料。

相關事件

指向相關聯事件的永久連結。按一下 鎖鏈 連結時,將在新的瀏覽器索引標籤中開啟事件設定檔頁面。

此事件可能是已自動與事件相關聯的很多密切相關事件之一。

事件識別碼

網路事件詳細資料頁面中檢視該事件。將在新的瀏覽器索引標籤中開啟此連結。

開始時間

事件開始時的時間戳記。

結束時間

事件結束時的時間戳記。

擷取的惡意軟體

擷取的惡意軟體區段提供對與事件相關的惡意軟體執行個體執行的動態分析的資訊。

您可以存取有關惡意軟體執行的動作、其運作方式以及產生的風險類型的詳細深入的技術資訊。如需所顯示資訊的詳細資訊,請參閱使用分析報告

備註:

如果未偵測到事件的惡意軟體,則不會顯示此區段。

事件證據

事件證據區段提供分析事件時觀察到的動作的詳細資料。

動作可能包括惡意檔案下載、符合已知威脅的網路特徵碼的網路流量、對封鎖的惡意軟體網域執行網域名稱解析、已知有害的 URL 路徑等。

如果可用,請按一下偵測器連結以檢視偵測器說明文件快顯視窗。如需詳細資料,請參閱關於證據

主機信譽

主機信譽區段提供有關在事件中發現的已知惡意主機或 URL 信譽項目的資訊。

備註:

如果主機沒有已知的歷程記錄,則不會顯示此區段。

異常資料

此區段顯示會導致引發異常事件的網路流量或被動 DNS 記錄。

其名為 DNS 異常資料網路流量異常資料,取決於發現的異常。

可能會提供其他資訊,例如,已分類為異常的 IP 位址或連接埠。如果涉及大量項目,您可以按一下 加號圖示# 以顯示所有項目。

備註:

如果未發現事件的異常,則不會顯示此區段。

威脅說明

[威脅說明] 區段會詳細說明與事件關聯的威脅。

緩解

緩解區段提供有關移除任何惡意程式碼的詳細說明,以及在發生事件後進行清理的其他建議過程。

備註:

如果事件沒有已知的緩解過程,則不會顯示此部分。