事件報告區段會顯示 NSX Advanced Threat Prevention 服務在處理樣本時收集的其他構件。
這些構件會包含在報告中供您檢視。
封包擷取
如果主體產生了網路流量,則會在擷取的流量 Widget 中收集並顯示此流量。
解壓縮的檔案
對於膨脹的封存檔,將顯示內容清單。每個資料列會顯示構件的 MIME 類型、標記 (指出分析類型)、描述、檔案名稱 (如果可以從封存檔中取得) 和分數。只有在分析構件時,才會提供分數。在此情況下,還會提供指向其報告的連結。
如果 NSX Advanced Threat Prevention 服務在解壓縮封存檔時遇到錯誤,則會顯示警示以指出錯誤情況。錯誤包括超過最大檔案限制,超過最大深度限制,以及超過最大子工作限制。
產生的檔案
在分析期間,樣本可能會產生各種檔案。這些檔案會顯示在依路徑排序的清單中。
- 路徑:構件在檔案系統中的路徑。
- 類型:判定的檔案類型。若要依檔案類型排序清單,請按一下類型。
按一下 圖示以展開資料列。將顯示 MD5、SHA1、大小 (位元組)、打包程式和特徵碼的資料。並非所有欄位都會包含資料。
解碼的命令列引數
對惡意 PowerShell 指令碼的引數通常會進行編碼或模糊處理。如果在分析期間執行了指令碼,NSX Advanced Threat Prevention 服務會將其解碼,以使其引數透過更便於使用者閱讀的形式提供。這些引數會顯示在一個清單中,顯示分析主體和解碼的指令碼。