La barre latérale Gérer les alertes vous permet de créer une règle qui correspond à tous les événements suivants détectés par NSX Network Detection and Response. Lorsqu'un événement correspond à une règle, l'action de règle est appliquée.

Accès à la barre latérale

Vous pouvez accéder à la barre latérale Gérer les alertes de l'une des manières suivantes.
  • Dans n'importe quel onglet de la page Profil d'hôte, cliquez sur le bouton Actions de l'hôte puis sélectionnez Gérer les alertes dans le menu déroulant. Le panneau de la barre latérale est ensuite prérempli avec les filtres appropriés. Vous pouvez modifier ces entrées.
  • Cliquez sur l'onglet Menaces sur la page Profil d'hôte. Sur une fiche de menace, cliquez sur Étapes suivantes et sélectionnez Gérer les alertes dans le menu déroulant.
  • Dans la vue Détails de l'incident, sélectionnez un incident spécifique et cliquez sur Gérer les alertes.
  • Sur la page Gestion des alertes, cliquez suricône d'ajout de règle dans le widget Règles personnalisées.

La barre latérale Gérer les alertes se compose de trois panneaux distincts : FILTRES, ACTIONS et RÈGLE DE VÉRIFICATION. Chaque panneau s'affiche en fonction de l'étape de création ou de modification de la règle dans laquelle vous vous trouvez actuellement.

Vous pouvez fermer la barre latérale Gérer les alertes en cliquant sur X dans le coin supérieur droit. Si vous avez apporté des modifications, vous devez confirmer la fermeture de la barre latérale.

Pour créer ou modifier une règle, vous devez effectuer trois étapes dans la barre latérale Gérer les alertes.

Étape 1 : créer ou modifier des filtres

L'onglet Filtres dispose de deux modes de modification que vous pouvez utiliser lors de l'utilisation de filtres : Basique (par défaut) et Avancé. Vous pouvez créer ou modifier des filtres dans l’un ou l’autre des modes.
  • Pour passer le mode Créer/Modifier en mode Avancé, cliquez sur l'onglet Avancé en haut de la barre latérale.
  • Pour revenir au mode basique, cliquez sur l'onglet De base (mais reportez-vous à la note importante).
Pour créer un filtre en mode De base, procédez comme suit.
  1. Cliquez sur Ajouter un nouveau filtre+.
  2. Sélectionnez un filtre dans le menu déroulant des entrées de filtre.

    Les filtres sont regroupés en quatre catégories : Source, URL, Détection et Fichier. Pour plus d'informations sur ces catégories, reportez-vous à la section Entrées d'attributs dans Syntaxe de la règle d’alerte.

  3. Selon le type de règle sélectionné, définissez sa valeur. Cela peut impliquer de cliquer sur une option, d'entrer une valeur, de sélectionner un élément dans un menu déroulant, ou autres.

    Pour modifier les filtres, faites défiler la liste, sélectionnez un filtre et modifiez les valeurs appropriées. Supprimez un filtre indésirable en cliquant dessus. Vous pouvez également sélectionner d'autres filtres.

Pour créer des filtres en mode Avancé, remplissez la zone de texte Expression correspondante et ajoutez ou modifiez un filtre à l'aide de la syntaxe des règles d'alerte. Par exemple, 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
Important : Normalement, vous pouvez basculer entre les deux modes de modification de la barre latérale. Toutefois, si le filtre d'expression correspondant que vous avez créé ou modifié n'est pas pris en charge par le mode De base, le lien De base est désactivé et l'onglet FILTRES est défini par défaut sur l'éditeur avancé.

Étape 2 : définir l’action

Après avoir défini ou modifié un filtre, pour définir les actions de la règle, cliquez sur Actions complémentaires dans le coin inférieur droit. Le panneau Actions dispose de deux modes de modification : Actions de base (par défaut) et Actions avancées :

  • Cliquez sur l'onglet Actions avancées en haut de la barre latérale pour passer le mode de création/modification en mode Avancé.
  • Cliquez sur le lien Actions de base pour revenir au mode De base.

Il existe deux boutons dans le panneau Actions en mode Actions de base : Gérer les alertes et Impact personnalisé (1-100).

Action de suppression
  1. Cliquez sur le bouton bascule Gérer les alertes.
  2. Sélectionnez Rétrograder à l'événement INFO (par défaut) ou Supprimer dans le menu déroulant.

    L'action Rétrograder convertit les événements réseau suivants qui correspondent à la règle en événements INFO. Notez que vous devez sélectionner INFO avec le filtre de résultat de l'événement.

    L'action Supprimer supprime les événements correspondants du portail de l'utilisateur.

    Avertissement : Les événements supprimés ne sont plus accessibles.
Impact personnalisé
  1. Cliquez sur le bouton bascule Impact personnalisé (1-100).
  2. Cliquez sur les cases d'option pour sélectionner Plage définie ou Valeur unique. Si vous avez sélectionné Plage définie, entrez les valeurs minimale et maximale dans les zones de texte respectives. Si vous avez sélectionné Valeur unique, entrez la valeur dans la zone de texte.
Vous pouvez également définir les actions à l'aide du panneau Actions avancées.
  1. Cliquez sur l'onglet Actions avancées.
  2. Dans la zone de texte, ajoutez ou modifiez une action à l'aide de la syntaxe des règles d'alerte.
    Par exemple : 
    demote:outcome=TEST
    ou 
    impact:min_impact=12,impact:max_impact=22

Après avoir sélectionné l'action, cliquez sur Vérifier la règle pour passer à l'étape suivante.

Pour corriger les filtres sélectionnés, cliquez sur Filtres pour revenir au panneau Filtres précédent.

Étape 3 : vérifier la règle

Le panneau Vérifier la règle vous permet de vérifier votre règle d'alerte.
  1. Dans la zone de texte Nom de la règle, entrez un nom.

    Si vous modifiez une règle existante, vous ne pouvez pas modifier le nom.

  2. (Facultatif) Utilisez le menu déroulant pour sélectionner une licence.

    Ce menu déroulant est désactivé si vous avez lancé la barre latérale Gérer les alertes à partir de la page Gestion des alertes ou si vous modifiez une règle existante.

  3. Dans la section Résumé de la règle, vérifiez les filtres sélectionnés qui sont répertoriés.
    Si l'onglet Filtres était laissé en mode De base, le résumé se compose d'une liste des filtres sélectionnés. Chaque filtre s’affiche avec son nom et ses valeurs. Par exemple : 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    Si l'onglet Filtres était laissé en mode Avancé, le résumé affiche l'expression correspondante. Par exemple : 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    Si l'onglet Actions était laissé en mode Actions de base, le résumé affiche l'action. Par exemple : 
    SUPPRESSION ALERT
Demote to INFO event
    Si l'onglet Actions était laissé en mode Actions avancées, le résumé affiche l'action. Par exemple : 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (Facultatif) Pour corriger les types de règles sélectionnés, cliquez sur Modifier la règle pour revenir à la page précédente.
  5. Lorsque vous avez terminé, cliquez sur Créer une règle pour terminer la règle ou cliquez sur Mettre à jour la règle si vous modifiez une règle existante.