Die NSX Network Detection and Response-Anwendung bietet einen Filtermechanismus, mit dem Sie sich auf bestimmte Ereignisinformationen konzentrieren können, die für Sie von Interesse sind. Die Verwendung von Filtern ist optional.
Prozedur
- Klicken Sie auf der Seite Ereignisse auf das , um das Widget Filter zu erweitern.
- Klicken Sie auf eine beliebige Stelle im Textfeld Filter auf und wählen Sie ein Element im Dropdown-Menü aus.
Sie können aus den folgenden verfügbaren Filtern auswählen. Um den Fokus der angezeigten Informationen weiter einzugrenzen, können Sie mehrere Filter kombinieren.
Filtername
Beschreibung
Ereignisergebnis
Wählen Sie Alle oder Info im Dropdown-Menü aus.
Standardmäßig werden Ereignisse angezeigt, bei denen ein Zusammenhang mit einer Bedrohung festgestellt wurde. Wenn Sie Info auswählen, werden nur die Ereignisse berücksichtigt, die selbst informationsbezogen sind. Indem Sie diese Ereignisse verfolgen, können Sie einen weiteren Einblick in die Aktivitäten in Ihrem Netzwerk erhalten.
Home-Netzwerk
Schränken Sie die angezeigten Ereignisse mit Hilfe des Dropdown-Menüs auf die Einstellung Home-Netzwerk ein. Wählen Sie Nur Home-Netzwerk für Ereignisse innerhalb Ihres definierten Home-Netzwerks aus. Wählen Sie Nur nicht identifizierte Netzwerke für Ereignisse von unbekannten Hosts aus.
Host-IP
Schränken Sie die angezeigten Ereignisse auf eine bestimmte Quell-IP-Adresse, einen IP-Adressbereich oder einen CIDR-Block ein. Geben Sie einen gültigen Wert in das Textfeld Host-IP ein.
Hostname
Schränken Sie die angezeigten Ereignisse auf einen bestimmten Hostnamen als Quelle ein. Der vollständige Hostname oder die Bezeichnung muss angegeben werden.
Vorfall-ID
Zeigen Sie Ereignisse an, die zum angegebenen Vorfall gehören. Eine Vorfall-ID ist ein numerischer Eintrag, z. B.
73142
. Eine gültige Vorfall-ID muss angegeben werden.Minimale Auswirkung
Anzeige der Ereignisse, die den minimalen Auswirkungswert aufweisen. Der Bereich liegt zwischen 1 und -100.
Anderer Host
Beschränken Sie die angezeigten Ereignisse auf einen bestimmten Hostnamen.
Andere Host-IP
Beschränken Sie die angezeigten Ereignisse auf eine bestimmte Host-IP-Adresse. Die IP-Adresse kann als eine oder mehrere IP-Adressen, CIDR-Blöcke (z. B.
192.168.0.0/24
) oder IP-Adressbereiche (z. B.1.1.1.5-1.1.1.9
) eingegeben werden.Port
Zeigen Sie Ereignisse mithilfe eines bestimmten TCP/UDP-Ports an. Um die angezeigten Ereignisse weiter zu filtern, können Sie dies mit dem Filter Transport kombinieren.
Priorität
Schränken Sie die angezeigten Ereignisse nach dem Prioritätsstatus ein. Wählen Sie im Dropdown-Menü Infektionen, Überwachungsliste oder Belästigungen aus.
Einzelheiten dazu finden Sie unter Infektionen im Zeitverlauf.
Bedrohung
Schränken Sie die angezeigten Vorfälle auf eine bestimmte Bedrohung ein. Wählen Sie eine Bedrohung aus dem Dropdown-Menü aus. Das Menü wird mit einer Liste katalogisierter Bedrohungen vorausgefüllt.
Verwenden Sie die Suchfunktion oben im Menü, um schnell einen Bedrohungsnamen zu finden.
Bedrohungsklasse
Schränken Sie die Anzeige auf eine bestimmte Klasse von Ereignissen ein. Wählen Sie die Bedrohungsklasse aus dem Dropdown-Menü. Das Menü ist mit einem Katalog von Klassen vorausgefüllt.
Transport
Zeigen Sie Ereignisse mithilfe eines bestimmten Transportschichtprotokolls an. Wählen Sie TCP oder UDP im Dropdown-Menü aus.
- Um die ausgewählten Filter anzuwenden, klicken Sie auf Anwenden.
Das System wendet die ausgewählten Filter an und aktualisiert die Ereignisliste.
- (Optional) Um einen einzelnen Filter zu löschen, klicken Sie neben dem Eintrag auf die Schaltfläche ENTFERNEN. Um alle ausgewählten Filter zu löschen, klicken Sie auf das Symbol X rechts neben dem Widget Filter.
Das Widget Filter wird ausgeblendet, wenn Sie alle ausgewählten Filter löschen.