偵測 (也稱為偵測事件或事件) 代表發生在網路中而被 NSX Network Detection and Response 偵測到的安全性相關活動。偵測允許進行威脅分級和調查,其做法是針對 NSX 環境內所有威脅事件 (無論事件類型如何) 進行分析。
當 NSX Network Detection and Response 系統收到新的偵測資料時,會將這些資料與現有偵測事件進行比較,以判斷新的偵測是否可與現有的偵測事件彙總在一起。如需有關如何彙總偵測的詳細資料,請參閱偵測的彙總。
偵測事件可以關聯在一起以形成活動。如果偵測事件與任何其他偵測都沒有關聯性,則不會將其包含在任何活動中。
檢視整合事件清單
若要查看由 NSX Network Detection and Response 產生的所有偵測事件,請導覽至頁面。此頁面在頁面頂端提供了一個長條圖,並在該長條圖下方提供了一份清單。該清單稱為統一事件清單,其中顯示了所有偵測事件。清單中的每一列代表一個偵測事件。
![[偵測] 頁面](images/GUID-F70C875F-9C72-410F-B9B6-18941B48C62D-low.jpg)
- 按一下頁面右上角的複製 URL,以複製連結位址以及目前套用的篩選器。
篩選整合事件清單
您可以使用下列方法篩選統一事件清單:
| 方法 | 詳細資料 |
|---|---|
| 核取方塊 | 按一下長條圖上方的核取方塊,以根據偵測的偵測影響分數篩選統一事件清單。 如需有關偵測影響分數的詳細資訊,請參閱關於偵測影響分數。
|
| 長條圖 | 按一下長條圖列,以根據偵測中識別的 MITRE ATT&CK 戰略篩選整合事件清單。
|
| 篩選欄位 | 按一下篩選器欄位以顯示更強大的篩選選項:
|
檢視偵測事件摘要
展開偵測資料列,然後按一下更多詳細資料,以檢視偵測摘要。
偵測類型
您可以在類型資料行中檢視偵測類型圖示。將滑鼠暫留在偵測類型上以便檢視。
![[偵測類型] 圖示。將滑鼠暫留在名稱上以便檢視](images/GUID-3C9E551B-794F-45B6-B501-A3C5EC0A4797-low.png)
匯出和下載封包擷取檔案
從偵測摘要的
流量資料索引標籤中,您可以匯出及下載
NSX IDS/IPS 所擷取的 PCAP (封包擷取) 檔案。如需 PCAP 的更多詳細資料,請參閱
匯出和下載封包擷取檔案。
備註: 如果在 IDS 設定檔中啟用了 PCAP,PCAP 檔案可用於東西向/分散式 IDS/IPS 事件。如果 PCAP 檔無法使用,則不會顯示此連結。此外,
NSX 和
NSX 應用程式平台 都必須是 4.2 版或更新版本。
惡意程式碼的行為概觀
惡意程式碼行為區段提供對與事件相關的惡意軟體執行個體執行的動態分析資訊。
按一下檢視報告,以存取有關惡意程式碼執行的動作、其運作方式,以及產生的風險類型等詳細的深入技術資訊。如需所顯示資訊的詳細資訊,請參閱分析報告詳細資料。
備註: 如果未偵測到事件的惡意軟體,則不會顯示此區段。
