NSX Network Detection and Response 提供了篩選機制,讓您能夠專注處理感興趣的已下載檔案的特定資訊。您可以選擇是否使用篩選器。
程序
- 從已下載的檔案頁面中,按一下 以展開篩選器 Widget。
- 按一下篩選對象文字方塊中的任意位置,然後從下拉式功能表中選取某個項目。
您可以從以下可用的篩選器中進行選取。若要進一步縮小所顯示資訊的聚焦範圍,可合併使用多個篩選器。
篩選器名稱
說明
分析標籤
依分析標籤來限制顯示的檔案。這些是系統分析為檔案或 URL 指派的標籤。標籤可以識別威脅或威脅類別,或指稱所偵測到的特定惡意行為。
分析人員 UUID
將顯示的檔案限制為所下載檔案的系統分析 UUID。這是用於分析檔案的內部唯一識別碼。
應用程式通訊協定
將顯示的檔案限制為透過其中一個指定的通訊協定來傳輸的檔案。支援的值包括 HTTP/HTTPS、FTP 和 SMB。
已連線的 IP
將顯示的檔案限制為從中下載檔案的 IP 位址。與主機 IP 篩選器一樣,此篩選器也支援 IP 位址、CIDR 區塊或 IP 位址範圍。
檔案類型篩選器
將顯示的檔案限制為一或多種高階檔案類型。請參閱檔案類型清單 (上面)。
檔案
選取惡意可將顯示的檔案限制為惡意檔案。系統分析為這些檔案指派了 70 分或更高的分數 (滿分是 100)。
主機 IP
將顯示的檔案限制為網路中下載檔案的主機所在的 IP 位址。此篩選器支持選取一或多個 IP 位址、CIDR 區塊 (例如,192.168.0.0/24) 或 IP 位址範圍 (例如,192.168.1.5-192.168.1.9)。
HTTP 主機
將顯示的檔案限制為從中下載檔案的主機名稱。
備註:這個值擷取自下載檔案的 HTTP 要求中的 HTTP 主機標頭。因此,會受用戶端控制,並可能會受到惡意程式碼的欺騙,例如,已在受感染主機上執行的惡意程式碼二進位檔。
MD5
將顯示的檔案限制為所下載檔案的 MD5 雜湊。
最低分數
將顯示的檔案限制為系統分析所指派的分數大於您選擇的值 (1 到 100) 的檔案。
- 若要套用所選取的篩選器,請按一下套用。
- (選擇性) 若要刪除個別篩選器,請按一下其項目旁邊的移除– 按鈕。若要刪除所有已選取的篩選器,請按一下位於篩選器 Widget 右側的 X 圖示。
刪除了所有已選取的篩選器後,篩選器 Widget 便會收合起來。