NSX Network Detection and Response 偵測到的威脅會以主機設定檔頁面的威脅索引標籤上的威脅卡片呈現。
威脅卡片會顯示計算的威脅分數、威脅名稱和類別、偵測成果 (如果可用)、威脅狀態和其他動作。如果可用,則會顯示與此威脅連線的活動。展開卡片可檢視其相關的證據。
使用排序依據下拉式功能表可排序威脅卡片。您可以從最近、最早、最高影響 (預設) 和最低影響中選取。
搜尋威脅文字方塊提供快速的即輸入即搜尋功能。它會篩選清單中的資料列,以僅顯示任何欄位中的文字與您提供的查詢字串相符的資料列。
切換顯示已關閉的威脅按鈕,以依威脅狀態篩選顯示的威脅卡片。預設值為顯示所有威脅。
管理威脅卡片
威脅卡片會顯示與所選取主機相關聯的所有威脅及其對應的威脅層級。每個卡片會顯示計算的威脅影響、威脅名稱、威脅類別以及偵測成果 (如果可用)。它還會顯示威脅狀態:開啟中或已關閉。
按一下後續步驟,然後從下拉式功能表中選取一個動作。
選取關閉以關閉威脅。選取開啟以重新開啟已關閉的威脅。
選取管理警示以從威脅建立警示管理規則。
證據摘要區段包含針對威脅偵測到的證據和其他資料的概觀。按一下 或該卡片中的幾乎任意位置,以展開證據詳細資料。
如果與此威脅連線的活動資料可用,則會顯示活動,並具有指向活動摘要側邊列的連結。
證據詳細資料
證據資料行會顯示檔案下載、特徵碼和其他類別的證據類型,以及出現證據的時間戳記。按一下證據類型連結時,將在頁面右側顯示該類型對應的證據摘要側邊列。證據摘要側邊列可供下列證據類型使用。
異常
檔案下載
特徵碼
網路互動和網路 IOC 資料行會顯示外部主機的 IP 位址或網域名稱。按一下連結會展開網路互動側邊列。
支援資料資料行會提供偵測事件的連結,以及威脅詳細資料的連結。
偵測成果
威脅偵測事件成果會具有下列可能值,依嚴重性順序列出。
偵測成果 |
說明 |
---|---|
已成功 |
確認威脅已達到其目標。這可能是對 C&C 伺服器已完成的簽入嘗試,並從惡意端點接收資料。 |
失敗 |
威脅未達到其目標。這可能是由 C&C 伺服器離線、攻擊者造成的程式碼編寫錯誤等導致。 |
已封鎖 |
NSX Network Detection and Response 應用程式或第三方應用程式已封鎖威脅。 |
如果事件成果不明,則不會顯示此欄位。
網路互動側邊列
您可以透過按一下威脅索引標籤的網路互動和網路 IOC資料行中特定主機的 IP 位址或網域名稱連結,來展開網路互動側邊列。
將在側邊列頂端顯示選定主機的影響和 IP 位址。
WHOIS 摘要
WHOIS 摘要部分顯示選定 IP 位址或網域名稱的 WHOIS 記錄中的重要欄位。按一下 圖示,來存取 WHOIS 快顯視窗,以取得有關 IP 位址或網域的詳細資料。如需詳細資料,請參閱WHOIS 快顯視窗。
開啟位置
開啟位置部分包含指向第三方提供者的連結,例如 DomainTools、VirusTotal、Google 等。如果無法在視圖中顯示更多提供者,您可以按一下展開以查看詳細資訊 ,以查看這些提供者。
異常證據摘要側邊列
證據類型為異常的證據摘要側邊列,會在您按一下威脅索引標籤的證據資料行中的異常證據連結時顯示。
按一下參考事件 ,以存取事件設定檔頁面和相關聯事件的完整詳細資料。
將提供證據的簡短描述。
威脅詳細資料
- 威脅 - 偵測到安全性風險的名稱。
- 威脅類別 - 偵測到安全性風險類別的名稱。
- 第一次出現 上次出現 - 具有第一次和上次出現時的時間戳記的圖表。持續時間會顯示在圖表下方。
偵測器摘要
- 偵測器名稱 - 偵測器的名稱。
- 目標 - 偵測器目標的簡短描述。
- ATT&CK 分類 - 如果適用,則提供指向 MITRE ATT&CK 技術的連結。否則會顯示不適用。
異常詳細資料
詳細資料 | 說明 |
---|---|
說明 | 異常的簡短描述,詳細說明它如何偏離基準行為或應將其視為可疑的原因。 |
狀態類型 | 異常的類型。例如,離群值。 |
異常 | 主機上出現的異常項目。例如,存取異常連接埠。 |
基準項目 | 一般會在此主機上出現的項目。 |
設定檔建立時間 | 建立基準時的時間戳記。 |
設定檔更新時間 | 偵測到異常時的時間戳記。 |
離群值圖表 | 圖表說明主機的正常資料上傳/下載,以便與標記為異常的資料傳輸比較。可能會顯示下列資料,取決於偵測器
|
檔案下載證據摘要側邊列
證據類型為檔案下載的證據摘要側邊列,會在您按一下威脅索引標籤的證據資料行中的檔案下載證據連結時顯示。
按一下參考事件 ,以存取事件設定檔頁面和相關聯事件的完整詳細資料。
將提供證據的簡短描述。
檔案詳細資料
- 檔案類型 - 下載的檔案的高階類型。如需檔案類型清單,請參閱唯一索引標籤。
- 信賴度 - 指出下載的檔案確實是惡意的可能性。由於系統使用進階啟發式方法來偵測未知威脅,在某些情況下,如果該特定威脅的可用資訊量有限,則偵測到的威脅可能會有較低的信賴度值。
- SHA1 - 檔案的 SHA1 雜湊。
惡意軟體識別
- 防毒類別 - 定義下載的檔案防毒類別的標籤。
- 防毒系列 - 定義下載的檔案防毒系列的標籤。
- 惡意軟體 - 定義下載的檔案惡意軟體類型的標籤。如果標籤具有 圖示,請按一下該圖示,以在快顯視窗中查看說明。
- 行為概觀 - 下載的檔案偵測到的行為。如果有很多資料,則預設會顯示部分清單。按一下展開以查看詳細資料 ,以檢視更多內容。按一下摺疊以查看較少資料 ,再次切換為關閉。
開啟位置...
若要在特定服務中開啟下載的檔案,請按一下提供者的圖示之一。依預設,這會顯示提供者的部分清單。
下載詳細資料
資訊 | 說明 |
---|---|
檔案名稱 | 下載的檔案的資源路徑。 |
URL | 下載的檔案的完整 URL。 |
第一次出現 | 下載的檔案第一次出現時的時間戳記。如果有此檔案的多個執行個體,則這將是一個範圍的時間戳記。 |
下載來源 | 來源伺服器的 IP 位址。 |
通訊協定 | 用於從來源伺服器傳輸下載的檔案的通訊協定。 |
使用者代理程式 | 如果可用,則為下載要求出現的使用者代理程式字串。 |
特徵碼證據摘要側邊列
當您按一下威脅索引標籤的 [證據] 資料行內的 [特徵碼證據] 連結時,便會顯示特徵碼證據類型的證據摘要側邊列。
按一下參考事件 ,以存取事件設定檔頁面和相關聯事件的完整詳細資料。
將提供證據的簡短描述。
威脅詳細資料
提供了有關該威脅的以下詳細資料。
詳細資料 |
說明 |
---|---|
威脅 |
偵測到安全性風險的名稱。 |
威脅類別 |
偵測到安全性風險類別的名稱。 |
活動 |
如果有的話,會顯示針對該威脅所偵測到的目前活動。 |
信賴度 |
指出所偵測到的威脅屬於惡意活動的可能性。 對於顯示分析結果的事件 (例如檔案下載) 會顯示分數。 |
第一次出現 上次出現 |
具有證據第一次和上次出現時的時間戳記的圖表。 持續時間會顯示在圖表下方。 |
流量詳細資料
參考事件流量 Widget 會概述在涉及所參考事件的主機之間觀察到的流量。事件中涉及的至少一個主機是監控的主機。發出通訊的主機可以是受監控主機或外部系統。
箭頭會指出主機之間的流量方向。
對於每個主機,將顯示 IP 位址。如果主機是本機,則位址是您可以按一下檢視 [主機設定檔] 頁面的連結。可能會顯示地理位置標記、 或 圖示。所顯示的數量可能會不只一個。如果可用,則顯示主機名稱。顯示套用於主機的任何主機標記。如果可用,請按一下 圖示,以在 WHOIS 快顯視窗中檢視主機詳細資料。如需詳細資料,請參閱WHOIS 快顯視窗。
偵測器摘要
顯示偵測器的摘要。如需詳細資料,請按一下詳細資料 連結,以檢視偵測器快顯視窗。如需詳細資料,請參閱偵測器說明文件快顯視窗。
偵測器名稱 - 偵測器的名稱。
目標 - 偵測器目標的簡短描述。
IDS 規則 - 按一下檢視規則 (如果有的話) 連結即可顯示偵測器快顯視窗。如需詳細資料,請參閱偵測器說明文件快顯視窗。其可以包含 IDS 規則。