事件報告區段會顯示 NSX Advanced Threat Prevention 服務在處理樣本時收集的其他構件。

這些構件會包含在報告中供您檢視。

封包擷取

如果主體產生了網路流量,則會在擷取的流量 Widget 中收集並顯示此流量。

解壓縮的檔案

對於膨脹的封存檔,將顯示內容清單。每個資料列會顯示構件的 MIME 類型、標記 (指出分析類型)、描述、檔案名稱 (如果可以從封存檔中取得) 和分數。只有在分析構件時,才會提供分數。在此情況下,還會提供指向其報告的連結。

如果 NSX Advanced Threat Prevention 服務在解壓縮封存檔時遇到錯誤,則會顯示警示以指出錯誤情況。錯誤包括超過最大檔案限制,超過最大深度限制,以及超過最大子工作限制。

產生的檔案

在分析期間,樣本可能會產生各種檔案。這些檔案會顯示在依路徑排序的清單中。

  • 路徑:構件在檔案系統中的路徑。
  • 類型:判定的檔案類型。若要依檔案類型排序清單,請按一下類型

按一下 展開圖示 圖示以展開資料列。將顯示 MD5、SHA1、大小 (位元組)、打包程式和特徵碼的資料。並非所有欄位都會包含資料。

解碼的命令列引數

對惡意 PowerShell 指令碼的引數通常會進行編碼或模糊處理。如果在分析期間執行了指令碼,NSX Advanced Threat Prevention 服務會將其解碼,以使其引數透過更便於使用者閱讀的形式提供。這些引數會顯示在一個清單中,顯示分析主體和解碼的指令碼。