通过使用管理警示边栏,您可以创建一个与 NSX Network Detection and Response 检测到的所有后续事件匹配的规则。在一个事件与规则匹配时,将应用规则操作。

访问边栏

您可以通过以下方法之一访问 管理警示边栏。
  • 主机配置文件页面上的任何选项卡中,单击主机操作按钮,然后从下拉菜单中选择“管理警示”。将在边栏面板中预填充相关的筛选器。您可以编辑这些条目。
  • 单击主机配置文件页面上的威胁选项卡。在威胁卡上,单击后续步骤,然后从下拉菜单中选择管理警示
  • 事件集详细信息视图中,选择一个特定的事件集并单击管理警示
  • 警示管理页面中,单击自定义规则小组件中的 添加规则图标

警示警示边栏包含三个单独的面板:“筛选器”、“操作”和“检查规则”。是否显示每个面板取决于,您当前所在的“创建规则”或“编辑规则”步骤。

您可以单击右上角的 X 以关闭管理警示边栏。如果进行了更改,您必须确认关闭该边栏。

要创建或编辑规则,您必须在管理警示边栏中执行三个步骤。

步骤 1:创建或编辑筛选器

筛选器选项卡具有两种编辑模式,您可以在使用筛选器时使用这些模式:基本(默认)和高级。您可以在任一模式下创建或编辑筛选器。
  • 要将创建/编辑模式切换到高级模式,请单击边栏顶部的高级选项卡。
  • 要切换回基本模式,请单击基本选项卡(但要查看重要说明)。
要在基本模式下创建筛选器,请执行以下步骤。
  1. 单击添加新的筛选器 +
  2. 从筛选器条目下拉菜单中选择一个筛选器。

    筛选器分为 4 类:源、URL、检测和文件。有关这些类别的更多详细信息,请参见警示规则语法中的“属性条目”一节。

  3. 根据所选规则类型,设置其值。这可能涉及单击切换按钮,输入值,从下拉菜单中选择项目,等等。

    要编辑筛选器,请滚动浏览列表,选择筛选器,然后修改相应的值。可以单击以删除不需要的筛选器。您也可以选择更多筛选器。

要在高级模式下创建筛选器,请填写 匹配表达式文本框,然后使用警示规则语法添加或编辑筛选器。例如, 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
重要说明: 通常,您可以在两种边栏编辑模式之间切换,但如果基本模式不支持您创建或编辑的匹配表达式筛选器,将禁用 基本链接, 筛选器选项卡默认为高级编辑器。

步骤 2:定义操作

在定义或编辑筛选器后,要定义规则操作,请单击右下角的定义操作操作面板具有两种编辑模式:基本操作(默认)和高级操作。

  • 单击边栏顶部的高级操作选项卡,以将创建/编辑模式切换到高级模式。
  • 单击基本操作链接以切换回基本模式。

在基本操作模式下,在操作面板上具有两个切换按钮:管理警示自定义影响 (1-100)

取消操作
  1. 单击管理警示切换按钮。
  2. 从下拉菜单中选择降级到信息事件(默认)或删除

    降级操作将与规则匹配的后续网络事件转换为 INFO 事件。请注意,您必须使用事件结果筛选器选择“信息”。

    删除操作从用户门户中删除匹配的事件。

    警告: 无法再访问任何删除的事件。
自定义影响
  1. 单击自定义影响 (1-100) 切换按钮。
  2. 单击单选按钮以选择定义的范围单个值。如果您选择了定义的范围,请在相应的文本框中输入最小值和最大值。如果您选择了单个值,请在文本框中输入该值。
您还可以使用“高级操作”面板定义操作。
  1. 单击高级操作选项卡。
  2. 在文本框中,使用警示规则语法添加或编辑操作。
    例如: 
    demote:outcome=TEST
    impact:min_impact=12,impact:max_impact=22

在选择操作后,单击检查规则以转到下一步。

要更正选定的筛选器,请单击筛选器以返回到以前的筛选器面板。

步骤 3:检查规则

在“检查规则”面板中,您可以验证警示规则。
  1. 在“规则名称”文本框中,输入名称。

    如果要编辑现有规则,则无法更改名称。

  2. (可选)使用下拉菜单选择一个许可证。

    如果您从警示管理页面中启动了管理警示边栏,或者您正在编辑现有的规则,则会禁用该下拉菜单。

  3. 规则摘要部分中,验证列出的选定筛选器。
    如果 筛选器选项卡处于基本模式,则摘要包含选定筛选器的列表。显示的每个筛选器具有名称和值。例如: 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    如果 筛选器选项卡处于高级模式,则摘要显示匹配表达式。例如: 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    如果 操作选项卡处于基本操作模式,摘要将显示操作。例如: 
    SUPPRESSION ALERT
Demote to INFO event
    如果 操作选项卡处于高级操作模式,摘要将显示操作。例如: 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (可选)要更正选定的规则类型,请单击编辑规则以返回到上一页。
  5. 完成后,单击创建规则以完成规则,如果您正在编辑现有的规则,请单击更新规则