NSX Network Detection and Response 应用程序提供了一种筛选机制,以使您专注于感兴趣的特定事件信息。使用筛选器是可选的。

过程

  1. 事件页面中,单击 加号图标 以展开筛选器小组件。
  2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

    您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

    筛选器名称

    描述

    事件结果

    从下拉菜单中选择全部信息

    默认设置是,显示确定与威胁相关的事件。如果选择信息,则仅包括本身是信息性的事件。通过跟踪这些事件,您可以进一步了解网络中的活动。

    本地网络

    使用下拉菜单通过本地网络设置限制显示的事件。对于您定义的本地网络中的事件,请选择仅本地网络。对于来自未知主机的事件,请选择仅未识别的网络

    主机 IP

    将显示的事件限制为特定的源 IP 地址、IP 地址范围或 CIDR 块。在主机 IP 文本框中输入有效的值。

    主机名

    将显示的事件限制为特定的源主机名。需要提供完整的主机名或标签。

    事件集 ID

    显示属于指定事件集的事件。事件集 ID 是一个数字条目,例如,73142。必须提供有效的事件集 ID。

    最小影响

    显示影响级别评分最低的事件。范围是 1-100。

    其他主机

    将显示的事件限制为特定的主机名。

    其他主机 IP

    将显示的事件限制为特定的主机 IP 地址。可以将该 IP 地址输入为一个或多个 IP 地址、CIDR 块(例如 192.168.0.0/24)或 IP 地址范围(例如 1.1.1.5-1.1.1.9)。

    端口

    使用特定的 TCP/UDP 端口显示事件。要进一步筛选显示的事件,您可以将其与传输筛选器结合使用。

    优先级

    按优先级状态限制显示的事件。从下拉菜单中选择感染观察列表滋扰

    请参见随时间推移的感染以了解详细信息。

    威胁

    按特定的威胁限制显示的事件集。从下拉菜单中选择一种威胁。该菜单预填充了一组分类的威胁。

    使用菜单顶部的搜索功能快速找到威胁名称。

    威胁类别

    将显示内容限制为特定类别的事件。从下拉菜单中选择威胁类别。该菜单预填充了一组类别。

    传输

    使用特定传输层协议显示事件。从下拉菜单中选择 TCPUDP
  3. 要应用选定的筛选器,请单击应用

    系统应用选定的筛选器,并更新“事件”列表。

  4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 X 图标。

    在删除所有选定的筛选器时,将折叠筛选器小组件。