Mit der Sidebar Warnung verwalten können Sie eine Regel erstellen, die mit allen nachfolgenden Ereignissen abgeglichen wird, die von NSX Network Detection and Response erkannt werden. Wenn ein Ereignis mit einer Regel übereinstimmt, wird die Regelaktion angewendet.

Zugriff auf die Sidebar

Sie können auf die Sidebar Warnung verwalten auf eine der folgenden Arten zugreifen.
  • Klicken Sie auf einer beliebigen Registerkarte auf der Seite Hostprofil auf die Schaltfläche Hostaktionen und wählen Sie dann „Warnung verwalten“ aus dem Pulldown-Menü aus. Der Seitenleistenbereich wird dann mit den entsprechenden Filtern vorbelegt. Sie können diese Einträge bearbeiten.
  • Klicken Sie auf der Seite Hostprofil auf die Registerkarte Bedrohungen. Klicken Sie auf einer Bedrohungskarte auf Weitere Schritte und wählen Sie im Pulldown-Menü Warnung verwalten aus.
  • Wählen Sie in der Ansicht Informationendetails einen bestimmten Vorfall aus und klicken Sie auf Warnung verwalten.
  • Klicken Sie auf der Seite Warnungsmanagement im Widget Benutzerdefinierte Regeln auf das Symbol Regel hinzufügen,

Die Seite Warnungen verwalten besteht aus drei separaten Bereichen: FILTER, AKTIONEN und REGEL ÜBERPRÜFEN. Jeder Bereich wird angezeigt, je nachdem, in welchem Schritt des Vorgangs „Regel erstellen“ oder „Regel bearbeiten“ Sie sich gerade befinden.

Sie können die Sidebar Warnung verwalten schließen indem Sie in der oberen rechten Ecke auf X klicken. Wenn Sie Änderungen vorgenommen haben, müssen Sie das Schließen der Sidebar bestätigen.

Um eine Regel zu erstellen oder zu bearbeiten, müssen Sie drei Schritte in der Sidebar Warnung verwalten ausführen.

Schritt 1: Filter erstellen oder bearbeiten

Die Registerkarte Filters verfügt über zwei Bearbeitungsmodi, die Sie beim Arbeiten mit Filtern verwenden können: Standard und Erweitert. Sie können Filter in beiden Modi erstellen oder bearbeiten.
  • Um den Modus Erstellen/Bearbeiten in den erweiterten Modus umzuschalten, klicken Sie oben in der Sidebar auf die Registerkarte Erweitert.
  • Um wieder zum Standardmodus zu wechseln, klicken Sie auf die Registerkarte Standard (siehe jedoch den wichtigen Hinweis).
Um einen Filter im Standardmodus zu erstellen, führen Sie die folgenden Schritte aus.
  1. Klicken Sie auf Neuen Filter hinzufügen+.
  2. Wählen Sie im Dropdown-Menü Filtereinträge einen Filter aus.

    Die Filter sind in vier Kategorien unterteilt: Quelle, URL, Erkennung und Datei. Weitere Informationen zu diesen Kategorien finden Sie im Abschnitt „Attributeinträge“ in Syntax für Warnungsregeln.

  3. Legen Sie je nach ausgewähltem Regeltyp dessen Wert fest. Dazu kann es erforderlich sein, auf einen Schalter zu klicken, einen Wert einzugeben, ein Element aus einem Pulldown-Menü auszuwählen oder ähnliches.

    Scrollen Sie zum Bearbeiten der Filter durch die Liste, wählen Sie einen Filter aus und ändern Sie die entsprechenden Werte. Löschen Sie einen unerwünschten Filter, indem Sie ihn anklicken. Sie können auch weitere Filter auswählen.

Um Filter im erweiterten Modus zu erstellen, füllen Sie das Textfeld Übereinstimmender Ausdruck aus und fügen Sie einen Filter hinzu oder bearbeiten Sie ihn mit der Syntax für Warnregeln. Beispiel: 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
Wichtig: Normalerweise können Sie zwischen den beiden Bearbeitungsmodi der Sidebar hin- und herschalten. Wenn jedoch der von Ihnen erstellte oder bearbeitete Filter für den übereinstimmenden Ausdruck vom Standardmodus nicht unterstützt wird, ist der Link Standard deaktiviert, und auf der Registerkarte FILTER wird standardmäßig der erweiterte Editor angezeigt.

Schritt 2: Definieren der Aktion

Nachdem Sie einen Filter definiert oder bearbeitet haben, klicken Sie zum Definieren der Regelaktionen in der unteren rechten Ecke auf Aktionen definieren. Der Bereich Aktionen verfügt über zwei Bearbeitungsmodi: Grundlegende Aktionen (Standard) und Erweiterte Aktionen:

  • Klicken Sie auf die Registerkarte Erweiterte Aktionen oben in der Sidebar, um den Erstellungs-/Bearbeitungsmodus in den erweiterten Modus zu versetzen.
  • Klicken Sie auf den Link Grundlegende Aktionen, um wieder zum Standardmodus zu wechseln.

Im Bereich Aktionen im Modus „Grundlegende Aktionen“ gibt es zwei Schalter: Warnung verwalten und Benutzerdefinierte Auswirkung (1-100).

Aktion unterdrücken
  1. Klicken Sie auf den Schalter Warnung verwalten.
  2. Wählen Sie aus dem Dropdown-Menü die Option Zu INFO-Ereignis herabstufen (Standard) oder Löschen.

    Die Aktion „Herabstufen“ wandelt nachfolgende Netzwerkereignisse, die mit der Regel übereinstimmen, in INFO-Ereignisse um. Beachten Sie, dass Sie INFO mit dem Filter für das Ereignisergebnis auswählen müssen.

    Die Aktion „Löschen“ löscht die übereinstimmenden Ereignisse aus dem Benutzerportal.

    Warnung: Auf alle gelöschten Ereignisse kann nicht mehr zugegriffen werden.
Benutzerdefinierte Auswirkung
  1. Klicken Sie auf die Umschaltoption Benutzerdefinierte Auswirkung (1-100).
  2. Klicken Sie auf das Optionsfeld, um Definierter Bereich oder Einzelwert auszuwählen. Wenn Sie Definierter Bereich ausgewählt haben, geben Sie mindest- und maximalwerte in die entsprechenden Textfelder ein. Wenn Sie Einzelwert ausgewählt haben geben Sie den Wert in das Textfeld ein.
Sie können die Aktionen auch im Bereich „Erweiterte Aktionen“ definieren.
  1. Klicken Sie auf die Registerkarte Erweiterte Aktionen.
  2. Fügen Sie im Textfeld eine Aktion mithilfe der Syntax der Warnungsregeln hinzu oder bearbeiten Sie sie.
    Beispiel: 
    demote:outcome=TEST
    oder 
    impact:min_impact=12,impact:max_impact=22

Nachdem Sie die Aktion ausgewählt haben, klicken Sie auf Regel überprüfen um mit dem nächsten Schritt fortzufahren.

Um die ausgewählten Filter zu korrigieren, klicken Sie auf Filter um zum vorherigen Fensterbereich Filter zurückzukehren.

Schritt 3: Regel überprüfen

Im Bereich „Regel überprüfen“ können Sie Ihre Warnungsregel überprüfen.
  1. Geben Sie in das Textfeld Regelname einen Namen ein.

    Wenn Sie eine vorhandene Regel bearbeiten, können Sie den Namen nicht ändern.

  2. (Optional) Verwenden Sie das Dropdown-Menü, um eine Lizenz auszuwählen.

    Dieses Dropdown-Menü ist deaktiviert, wenn Sie die Sidebar Warnung verwalten auf der Seite Warnungsmanagement gestartet haben oder wenn Sie eine vorhandene Regel bearbeiten.

  3. Überprüfen Sie im Abschnitt Regelübersicht die ausgewählten Filter, die aufgelistet sind.
    Wenn die Registerkarte Filter im Standardmodus belassen wurde, besteht die Übersicht aus einer Liste der ausgewählten Filter. Jeder Filter wird mit seinem Namen und seinen Werten angezeigt. Beispiel: 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    Wenn die Registerkarte Filter im erweiterten Modus belassen wurde, wird in der Übersicht der übereinstimmende Ausdruck angezeigt. Beispiel: 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    Wenn die Registerkarte Aktionen im Modus „Grundlegende Aktionen“ belassen wurde, wird in der Übersicht die Aktion angezeigt. Beispiel: 
    SUPPRESSION ALERT
Demote to INFO event
    Wenn sich die Registerkarte Aktionen im Modus „Erweiterte Aktionen“ belassen wurde, wird in der Übersicht die Aktion angezeigt. Beispiel: 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (Optional) Um die ausgewählten Regeltypen zu korrigieren, klicken Sie auf Regel bearbeiten um zur vorherigen Seite zurückzukehren.
  5. Wenn Sie fertig sind, klicken Sie auf Regel erstellen, um die Regel abzuschließen, oder klicken Sie auf Regel aktualisieren wenn Sie eine vorhandene Regel bearbeiten.