使用惡意程式碼防護儀表板,以深入查看在資料中心所擷取之檔案的事件詳細資料,以便進行更深入的監控和分析。

儀表板可以顯示過去 14 天內的檔案事件。如需分散式防火牆和閘道防火牆支援的檔案事件數上限的相關資訊,請參閱「VMware 組態上限」工具,網址為 https://configmax.vmware.com/home

檔案事件 (檔案檢查) 的相關資訊會顯示在兩個索引標籤頁面中。
[潛在惡意程式碼] 頁面

顯示特定期間內在資料中心擷取的惡意檔案、可疑檔案和未檢查 (列入允許清單) 的檔案等的彙總事件詳細資料。

氣泡圖中的氣泡代表在資料中心擷取的唯一檔案。檔案會以其檔案雜湊作為唯一識別。氣泡內的顏色和圖形表示檔案是惡意檔案、可疑檔案,還是未檢查 (列入允許清單) 的檔案。

表格中的資料列代表一個檔案。氣泡上的數字表示針對該檔案所算出的威脅分數。分數範圍為 0 到 100,表示與該檔案相關聯的風險或惡意意圖程度。威脅分數越高,表示風險越大,反之亦然。例如:
  • 良性檔案的分數範圍為 0–29。
  • 可疑檔案的分數範圍為 30–69。
  • 惡意檔案的分數範圍為 70–100。
  • 未檢查的檔案分數為 -1。

如果檔案的判定結果為惡意或可疑,則會顯示該檔案的惡意程式碼系列和惡意程式碼類別。單一檔案可以屬於多個惡意程式碼系列和惡意程式碼類別。但是,如果 NSX 不知道檔案的惡意程式碼系列和惡意程式碼類別,則不會在 UI 中顯示此資訊。

備註: 對於每個檔案,會彙總其事件詳細資料 (檢查詳細資料),並顯示在儀表板上。例如,如果單一檔案在資料中心檢查了五次,則會產生五個檔案事件。也就是說,檔案的檢查次數為 5。但是,此檔案在氣泡圖中會以單一氣泡顯示,在表格中則顯示為單一資料列。當您用滑鼠指向一個氣泡時,會顯示對檔案執行的檢查摘要。同樣地,當您在表格中展開檔案的資料列時,會顯示最近檔案檢查的詳細資料。但是,此檔案所有之前的檢查歷史記錄都會保留,以供您查看。
下表說明氣泡圖上所用圖示的含義。
圖示 含義

影像顯示小氣泡圖示。

時間表上的小氣泡表示對檔案的一次檢查。


影像顯示大氣泡圖示

時間表上的大氣泡代表對單一檔案進行的多次檢查。

範例:假設在三天內在五個客體虛擬機器上擷取了一個 .exe 檔案,且 NSX 將此檔案判斷為可疑。在這種情況下,對資料中心內的 .exe 檔案進行了五次唯一檔案檢查。在上次檢查時間戳記的可疑時間表上會顯示一個大氣泡。您可以按一下氣泡,檢視此 .exe 檔案所有五次檢查的歷程記錄。


影像顯示一組氣泡圖示

時間表上的一組氣泡代表多次唯一檔案檢查,且其判定結果相同。

範例:假設同時 (或幾乎同時) 從資料中心的南北向流量中擷取了四個唯一的 .docx 檔案:A、B、C 和 D,且 NSX 將所有這些檔案都判斷為惡意。這所有四個檔案的氣泡會集結在一起,並顯示在氣泡圖的惡意時間表上。

[所有檔案] 頁面
顯示表格式視圖,其中含有在資料中心擷取的所有唯一檔案 (包括良性檔案)。換句話說,此頁面會顯示所有唯一檔案,而不考慮檔案的判定結果。展開表格中的資料列,以檢視該檔案上次檢查的詳細資料。

必要條件

  • 已在 NSX Application Platform 中成功啟動 NSX 惡意程式碼防護功能。
  • 已在 ESXi 主機叢集或第 1 層閘道或兩者上啟動 NSX 惡意程式碼防護功能,這取決於您的安全需求。

程序

  1. 從瀏覽器登入 NSX Manager,網址為 https://nsx-manager-ip-address
  2. 按一下安全性,然後在左側導覽窗格中按一下惡意程式碼防護
    此時會顯示 潛在惡意程式碼頁面。依預設,氣泡圖和表格會顯示過去一小時內擷取的檔案。若要檢視不同期間的檔案,請按一下此頁面右上角的下拉式功能表,然後選取不同的期間。
  3. (選擇性) 按一下頁面右上角的篩選器圖示,然後選取用來篩選頁面上資訊的準則。
    篩選準則會同時套用至氣泡圖和表格。支援以下篩選準則:
    • 判定 (包括允許清單)
    • SHA256 雜湊
    • 已封鎖
    • 檔案類型
    • 惡意程式碼類別
    • 惡意程式碼系列
  4. 監控顯示在儀表板上的檔案事件詳細資料 (檢查)。
    1. 將滑鼠指向氣泡,以便在快顯視窗中檢視檔案檢查的摘要資訊。
      快顯視窗中的資訊會因您將滑鼠指向小氣泡、大氣泡還是一組氣泡而異。例如,如果您將滑鼠指向小氣泡,快顯視窗會顯示有關檔案單次檢查的摘要資訊。
    2. 必要時,可拖曳氣泡圖中的時間表來縮小或放大。
    3. 按一下氣泡,可直接跳至表格中的該檔案。展開資料列,可檢視此檔案最近一次檢查的完整詳細資料。
      欄位 說明

      檔案類型

      在傳輸節點 (主機或 Edge) 上擷取的檔案類型。例如,PdfDocFile、PeExeFile、ShellScriptFile 等。

      檔案類型詳細資料

      有關檔案類型的簡要資訊。

      用戶端 (上次)

      在上次檢查中接收檔案的目的地機器。

      如果是在資料中心內之分散式東西向流量中的端點虛擬機器上擷取檔案,則用戶端是端點虛擬機器本身。

      如果是在南北向流量中的 NSX Edge 上擷取檔案,則流量方向會決定用戶端。

      例如,如果資料中心內的虛擬機器將檔案上傳到資料中心外的機器,則用戶端是資料中心外的機器。如果資料中心內的虛擬機器從資料中心外的機器下載檔案,則用戶端是資料中心內的虛擬機器。

      伺服器 (上次)

      在上次檢查中從中接收檔案的來源機器。

      如果是在資料中心內之分散式東西向流量中的端點虛擬機器上擷取檔案,則 NSX 惡意程式碼防護無法判斷該檔案的來源。因此,[伺服器 (上次)] 方塊一律是空的。

      如果是在南北向流量中的 NSX Edge 上擷取檔案,則流量方向會決定伺服器。

      例如,如果資料中心內的虛擬機器從資料中心外的機器下載檔案,則伺服器是資料中心外的機器。如果資料中心內的虛擬機器將檔案上傳到資料中心外的機器,則伺服器是資料中心內的虛擬機器。

      檔案名稱

      與檔案相關聯的名稱。單一檔案具有唯一的雜湊值,但接收該檔案的用戶端可能會使用不同的名稱來儲存檔案。

      通訊協定

      用於檔案傳輸的通訊協定。例如,HTTP、FTP、HTTPS 等。

      工作負載

      按一下此欄位旁的數字,檢視資料中心內受該檔案影響之所有工作負載虛擬機器的清單。

      檢查總計

      按一下此欄位旁的數字,檢視對檔案執行之所有檢查的歷程記錄。例如,如果在資料中心內檢查了檔案 10 次,則快顯視窗會顯示所有這 10 次檢查的摘要。

      防火牆類型

      值為分散式/主機Edge

      如果檔案上次是擷取自執行分散式防火牆的 ESXi 主機,則值為分散式主機

      如果檔案上次是擷取自執行閘道防火牆的 Edge,則值為 Edge

      傳輸節點

      上次檢查時擷取檔案所在之 Edge 傳輸節點或主機傳輸節點的識別碼。

      第一次檢查時間

      第一次在資料中心檢查檔案的日期和時間。

      上次檢查時間

      上次在資料中心檢查檔案的日期和時間。

      提交者

      此值一律是系統,這表示 NSX 已將檔案提交到雲端,以進行詳細分析。

      NSX 4.1.1 開始,此欄位已移除。

      分析人員 UUID

      提交到雲端進行詳細分析之檔案的 UUID。無論檔案是在上次檢查期間還是在之前任何檢查中,提交到雲端,都會顯示 UUID。如果檔案已多次提交到雲端,則會顯示上次提交的 UUID。

      已封鎖

      表示檔案是否被封鎖。值為 [是] 或 [否]。

    4. (選擇性) 執行以下其他工作:
  5. 按一下所有檔案索引標籤。
    此頁面會列出資料中心所擷取的所有唯一檔案,而不考慮檔案的判定結果。依預設,會顯示過去一小時內擷取的檔案。若要檢視不同期間的檔案清單,請按一下此頁面右上角的下拉式功能表,然後選取不同的期間。