NSX Network Detection and Response 应用程序提供了一种筛选机制,以使您专注于感兴趣的特定事件信息。使用筛选器是可选的。

过程

 1. 事件页面中,单击 加号图标 以展开筛选器小组件。
 2. 单击筛选条件文本框中的任意位置,然后从下拉菜单中选择一个项目。

  您可以从以下可用的筛选器中进行选择。要进一步缩小显示的信息焦点,可以组合多个筛选器。

  筛选器名称

  描述

  事件结果

  从下拉菜单中选择全部信息

  默认设置是,显示确定与威胁相关的事件。如果选择信息,则仅包括本身是信息性的事件。通过跟踪这些事件,您可以进一步了解网络中的活动。

  本地网络

  使用下拉菜单通过本地网络设置限制显示的事件。对于您定义的本地网络中的事件,请选择仅本地网络。对于来自未知主机的事件,请选择仅未识别的网络

  主机 IP

  将显示的事件限制为特定的源 IP 地址、IP 地址范围或 CIDR 块。在主机 IP 文本框中输入有效的值。

  主机名

  将显示的事件限制为特定的源主机名。需要提供完整的主机名或标签。

  事件集 ID

  显示属于指定事件集的事件。事件集 ID 是一个数字条目,例如,73142。必须提供有效的事件集 ID。

  最小影响

  显示影响级别评分最低的事件。范围是 1-100。

  其他主机

  将显示的事件限制为特定的主机名。

  其他主机 IP

  将显示的事件限制为特定的主机 IP 地址。可以将该 IP 地址输入为一个或多个 IP 地址、CIDR 块(例如 192.168.0.0/24)或 IP 地址范围(例如 1.1.1.5-1.1.1.9)。

  端口

  使用特定的 TCP/UDP 端口显示事件。要进一步筛选显示的事件,您可以将其与传输筛选器结合使用。

  优先级

  按优先级状态限制显示的事件。从下拉菜单中选择感染观察列表滋扰

  请参见随时间推移的感染以了解详细信息。

  威胁

  按特定的威胁限制显示的事件集。从下拉菜单中选择一种威胁。该菜单预填充了一组分类的威胁。

  使用菜单顶部的搜索功能快速找到威胁名称。

  威胁类别

  将显示内容限制为特定类别的事件。从下拉菜单中选择威胁类别。该菜单预填充了一组类别。

  传输

  使用特定传输层协议显示事件。从下拉菜单中选择 TCPUDP

 3. 要应用选定的筛选器,请单击应用

  系统应用选定的筛选器,并更新“事件”列表。

 4. (可选) 要删除单个筛选器,请单击其条目旁边的移除 - 按钮。要删除所有选定的筛选器,请单击位于筛选器小组件右侧的 X 图标。

  在删除所有选定的筛选器时,将折叠筛选器小组件。