La barra lateral Administrar alerta permite crear una regla que coincida con todos los eventos subsiguientes detectados por NSX Network Detection and Response. Cuando un evento coincide con una regla, se aplica la acción de la regla.

Acceder a la barra lateral

Puede acceder a la barra lateral Administrar alerta de una de las siguientes formas.
  • En cualquier pestaña de la página Perfil de host, haga clic en el botón Acciones de host y, a continuación, seleccione Administrar alerta en el menú desplegable. A continuación, el panel de la barra lateral, se rellena automáticamente con los filtros pertinentes. Puede editar estas entradas.
  • Haga clic en la pestaña Amenazas en la página Perfil de host. En una tarjeta de amenazas, haga clic en Próximos pasos y seleccione Administrar alerta en el menú desplegable.
  • En la vista Detalles del incidente, seleccione un incidente específico y haga clic en Administrar alerta.
  • En la página Administración de alertas, haga clic en icono agregar regla en el widget Administración de alertas,

La barra lateral Administrar alerta consta de tres paneles independientes: FILTROS, ACCIONES y REVISAR REGLA. Cada panel se muestra en función de en qué paso de Crear regla o Editar regla se encuentre actualmente.

Para cerrar la barra lateral Administrar alerta haga clic en la X situada en la esquina superior derecha. Si realizó cambios, debe confirmar el cierre de la barra lateral.

Para crear o editar una regla, debe realizar tres pasos en la barra lateral Administrar alerta.

Paso 1: Crear o editar filtros

La pestaña Filtros tiene dos modos de edición que puede utilizar al trabajar con filtros: Básico (valor predeterminado) y Avanzado. Puede crear o editar filtros en cualquiera de los modos.
  • Para cambiar el modo Crear/Editar al modo Avanzado, haga clic en la pestaña Avanzado en la parte superior de la barra lateral.
  • Para volver al modo Básico, haga clic en la pestaña Básico (pero consulte la nota Importante).
Para crear un filtro en modo básico, realice los siguientes pasos.
  1. Haga clic en Agregar un nuevo filtro+.
  2. Seleccione un filtro en el menú desplegable de entradas de filtro.

    Los filtros se agrupan en cuatro categorías: Origen, URL, Detección y Archivo. Consulte la sección de entradas de atributos en Sintaxis de reglas de alerta para obtener más información sobre estas categorías.

  3. Según el tipo de regla seleccionado, establezca su valor. Esto puede implicar hacer clic en una opción, introducir un valor, seleccionar un elemento de un menú desplegable u otros.

    Para editar los filtros, desplácese por la lista, seleccione un filtro y modifique los valores adecuados. Elimine los filtros no deseados haciendo clic. También puede seleccionar más filtros.

Para crear filtros en modo Avanzado, rellene el cuadro de texto Expresión coincidente y agregue o edite un filtro con la sintaxis de las reglas de alerta. Por ejemplo, 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
Importante: Por lo general, puede alternar entre los dos modos de edición de la barra lateral. Sin embargo, si el filtro de expresión coincidente que creó o editó no es compatible con el modo Básico, el vínculo Básico estará deshabilitado y la pestaña FILTROS se establecerá de forma predeterminada en el editor Avanzado.

Paso 2: Definir la acción

Después de definir o editar un filtro, para definir las acciones de la regla, haga clic en Definir acciones en la esquina inferior derecha. El panel Acciones tiene dos modos de edición: Acciones básicas (valor predeterminado) y Acciones avanzadas:

  • Haga clic en la pestaña Acciones avanzadas en la parte superior de la barra lateral para cambiar el modo de creación/edición al modo Avanzado.
  • Haga clic en el vínculo Acciones básicas para volver al modo básico.

Existen dos opciones en el panel Acciones en el modo de acciones básicas: Administrar alerta e Impacto personalizado (1-100).

Suprimir acción
  1. Haga clic en el botón de alternancia Administrar alerta.
  2. Seleccione Degradar a evento INFO (valor predeterminado) o Eliminar en el menú desplegable.

    La acción Degradar convierte los eventos de red subsiguientes que coincidan con la regla en eventos INFO. Tenga en cuenta que debe seleccionar INFO con el filtro Resultado del evento.

    La acción Eliminar elimina los eventos coincidentes del portal del usuario.

    Advertencia: Ya no podrá acceder a los eventos que se eliminen.
Impacto personalizado
  1. Haga clic en el botón de alternancia Impacto personalizado (1-100).
  2. Haga clic en los botones de opción para seleccionar Rango definido o Valor único. Si seleccionó Rango definido, introduzca los valores mínimo y máximo en los cuadros de texto correspondientes. Si seleccionó Valor único, introduzca el valor en el cuadro de texto.
También puede definir las acciones mediante el panel Acciones avanzadas.
  1. Haga clic en la pestaña Acciones avanzadas.
  2. En el cuadro de texto, agregue o edite una acción con la sintaxis de las reglas de alerta.
    Por ejemplo: 
    demote:outcome=TEST
    o 
    impact:min_impact=12,impact:max_impact=22

Después de seleccionar la acción, haga clic en Revisar regla para ir al siguiente paso.

Para corregir los filtros seleccionados, haga clic en Filtros para volver al panel Filtros anterior.

Paso 3: Revisar regla

El panel Revisar regla le permite verificar la regla de alerta.
  1. En el cuadro de texto Nombre de regla, introduzca un nombre.

    Si va a editar una regla existente, no puede cambiarle el nombre.

  2. (Opcional) Utilice el menú desplegable para seleccionar una licencia.

    Este menú desplegable estará deshabilitado si inició la barra lateral Administrar alerta desde la página Administración de alertas o si está editando una regla existente.

  3. En la sección Resumen de regla, compruebe los filtros seleccionados que aparecen en la lista.
    Si la pestaña Filtros se dejó en el modo Básico, el resumen consistirá en una lista de los filtros seleccionados. Cada filtro se muestra con su nombre y sus valores. Por ejemplo: 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    Si la pestaña Filtros se dejó en modo Avanzado, el resumen mostrará la expresión coincidente. Por ejemplo: 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    Si la pestaña Acciones se dejó en modo Acciones básicas, el resumen mostrará la acción. Por ejemplo: 
    SUPPRESSION ALERT
Demote to INFO event
    Si la pestaña Acciones se dejó en modo Acciones avanzadas, el resumen mostrará la acción. Por ejemplo: 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (Opcional) Para corregir los tipos de regla seleccionados, haga clic en Editar regla para volver a la página anterior.
  5. Cuando haya terminado, haga clic en Crear regla para completar la regla o haga clic en Actualizar regla si va a editar una regla existente.