NSX Network Detection and Response UI 的活動詳細資料頁面中的證據索引標籤會顯示針對目前選取的活動偵測到的證據的清單。

每一個資料列是活動的證據摘要。按一下 加號圖示 (或項目資料列中的任意位置) 展開該資料列,以檢視特徵碼證據資訊。

證據清單包括下列資料行。

證據資料行

說明

IP 位址

作為威脅來源的主機的 IP 位址。

第一次出現

顯示活動開始時間的時間戳記。

上次出現

顯示活動的最近活動的時間戳記。

威脅

偵測到安全性風險的名稱。

威脅類別

偵測到安全性風險類別的名稱。

影響

影響值會指出偵測到威脅的嚴重程度,且範圍為 1-100:

  • 70 或更高的威脅將視為嚴重。

  • 30-69 之間的威脅將視為中等風險。

  • 1-29 之間的威脅將視為良性。

如果顯示 已封鎖圖示 [封鎖圖示],表示已封鎖該構件。

證據

活動證據的衍生值。如需詳細資料,請參閱關於證據

主體

來自活動的其他資訊。這可能是 IP 位址、HTTP 回應代碼或某些其他資料。

參考

按一下連結以存取網路事件詳細資料頁面。將在新的瀏覽器索引標籤中開啟此連結。如需詳細資料,請參閱事件設定檔頁面

事件識別碼

指向相關聯事件的永久連結。將在新的瀏覽器索引標籤中開啟此連結。請參閱管理事件頁面

按一下 三條水平列圖示 圖示,以變更要顯示的資料行。預設值是顯示所有可用的資料行。

按一下 加號圖示 (或證據資料列中的任意位置) 時,將顯示下列資訊。

資訊名稱

說明

威脅

偵測到安全性風險的名稱。

威脅類別

偵測到安全性風險類別的名稱。

影響

活動的影響分數。

偵測器

如果存在,則顯示可識別威脅的 NSX Network Detection and Response 模組。按一下連結以檢視偵測器快顯視窗。

檢視網路偵測

如果存在,則顯示可識別威脅的 NSX Network Detection and Response 模組。按一下此連結以檢視 [偵測器] 快顯視窗。

檢視事件

按一下連結以存取網路事件詳細資料頁面。將在新的瀏覽器索引標籤中開啟此連結。請參閱事件設定檔頁面

第一次出現

顯示活動開始時間的時間戳記。

上次出現

顯示活動的最近活動的時間戳記。

嚴重性

估計偵測到威脅的嚴重程度。例如,對命令和控制伺服器的連線通常會視為高嚴重性,因為該連線可能有破壞性。

信賴度

指出偵測到的個別威脅確實是惡意的可能性。由於系統使用進階啟發式方法來偵測未知威脅,在某些情況下,如果該特定威脅的可用資訊量有限,則偵測到的威脅可能會有較低的信賴度值。