La barre latérale Gérer les alertes vous permet de créer une règle qui correspond à tous les événements suivants détectés par NSX Network Detection and Response. Lorsqu'un événement correspond à une règle, l'action de règle est appliquée.
Accès à la barre latérale
- Dans n'importe quel onglet de la page Profil d'hôte, cliquez sur le bouton Actions de l'hôte puis sélectionnez Gérer les alertes dans le menu déroulant. Le panneau de la barre latérale est ensuite prérempli avec les filtres appropriés. Vous pouvez modifier ces entrées.
- Cliquez sur l'onglet Menaces sur la page Profil d'hôte. Sur une fiche de menace, cliquez sur Étapes suivantes et sélectionnez Gérer les alertes dans le menu déroulant.
- Dans la vue Détails de l'incident, sélectionnez un incident spécifique et cliquez sur Gérer les alertes.
- Sur la page Gestion des alertes, cliquez sur dans le widget Règles personnalisées.
La barre latérale Gérer les alertes se compose de trois panneaux distincts : FILTRES, ACTIONS et RÈGLE DE VÉRIFICATION. Chaque panneau s'affiche en fonction de l'étape de création ou de modification de la règle dans laquelle vous vous trouvez actuellement.
Vous pouvez fermer la barre latérale Gérer les alertes en cliquant sur X dans le coin supérieur droit. Si vous avez apporté des modifications, vous devez confirmer la fermeture de la barre latérale.
Pour créer ou modifier une règle, vous devez effectuer trois étapes dans la barre latérale Gérer les alertes.
Étape 1 : créer ou modifier des filtres
- Pour passer le mode Créer/Modifier en mode Avancé, cliquez sur l'onglet Avancé en haut de la barre latérale.
- Pour revenir au mode basique, cliquez sur l'onglet De base (mais reportez-vous à la note importante).
- Cliquez sur Ajouter un nouveau filtre+.
- Sélectionnez un filtre dans le menu déroulant des entrées de filtre.
Les filtres sont regroupés en quatre catégories : Source, URL, Détection et Fichier. Pour plus d'informations sur ces catégories, reportez-vous à la section Entrées d'attributs dans Syntaxe de la règle d’alerte.
- Selon le type de règle sélectionné, définissez sa valeur. Cela peut impliquer de cliquer sur une option, d'entrer une valeur, de sélectionner un élément dans un menu déroulant, ou autres.
Pour modifier les filtres, faites défiler la liste, sélectionnez un filtre et modifiez les valeurs appropriées. Supprimez un filtre indésirable en cliquant dessus. Vous pouvez également sélectionner d'autres filtres.
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT (network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND (network_event.threat: Lastline blocking test)
Étape 2 : définir l’action
Après avoir défini ou modifié un filtre, pour définir les actions de la règle, cliquez sur Actions complémentaires dans le coin inférieur droit. Le panneau Actions dispose de deux modes de modification : Actions de base (par défaut) et Actions avancées :
- Cliquez sur l'onglet Actions avancées en haut de la barre latérale pour passer le mode de création/modification en mode Avancé.
- Cliquez sur le lien Actions de base pour revenir au mode De base.
Il existe deux boutons dans le panneau Actions en mode Actions de base : Gérer les alertes et Impact personnalisé (1-100).
- Action de suppression
-
- Cliquez sur le bouton bascule Gérer les alertes.
- Sélectionnez Rétrograder à l'événement INFO (par défaut) ou Supprimer dans le menu déroulant.
L'action Rétrograder convertit les événements réseau suivants qui correspondent à la règle en événements
INFO
. Notez que vous devez sélectionner INFO avec le filtre de résultat de l'événement.L'action Supprimer supprime les événements correspondants du portail de l'utilisateur.
Avertissement : Les événements supprimés ne sont plus accessibles.
- Impact personnalisé
-
- Cliquez sur le bouton bascule Impact personnalisé (1-100).
- Cliquez sur les cases d'option pour sélectionner Plage définie ou Valeur unique. Si vous avez sélectionné Plage définie, entrez les valeurs minimale et maximale dans les zones de texte respectives. Si vous avez sélectionné Valeur unique, entrez la valeur dans la zone de texte.
- Cliquez sur l'onglet Actions avancées.
- Dans la zone de texte, ajoutez ou modifiez une action à l'aide de la syntaxe des règles d'alerte.
Par exemple :
demote:outcome=TEST
ouimpact:min_impact=12,impact:max_impact=22
Après avoir sélectionné l'action, cliquez sur Vérifier la règle pour passer à l'étape suivante.
Pour corriger les filtres sélectionnés, cliquez sur Filtres pour revenir au panneau Filtres précédent.
Étape 3 : vérifier la règle
- Dans la zone de texte Nom de la règle, entrez un nom.
Si vous modifiez une règle existante, vous ne pouvez pas modifier le nom.
- (Facultatif) Utilisez le menu déroulant pour sélectionner une licence.
Ce menu déroulant est désactivé si vous avez lancé la barre latérale Gérer les alertes à partir de la page Gestion des alertes ou si vous modifiez une règle existante.
- Dans la section Résumé de la règle, vérifiez les filtres sélectionnés qui sont répertoriés.
Si l'onglet Filtres était laissé en mode De base, le résumé se compose d'une liste des filtres sélectionnés. Chaque filtre s’affiche avec son nom et ses valeurs. Par exemple :
Rule summary SERVER IP 12.6.6.6/32 RELEVANT HOST SILENCED 1 THREAT(S) Torn rat THREAT CLASS Malicious file execution
Si l'onglet Filtres était laissé en mode Avancé, le résumé affiche l'expression correspondante. Par exemple :Rule summary (network_event.server_ip: 12.6.6.6/32) AND (network_event.relevant_host_whitelisted: 1) AND (network_event.threat: Torn RAT) AND (network_event.threat_class: Malicious File Execution)
Si l'onglet Actions était laissé en mode Actions de base, le résumé affiche l'action. Par exemple :SUPPRESSION ALERT Demote to INFO event
Si l'onglet Actions était laissé en mode Actions avancées, le résumé affiche l'action. Par exemple :ACTION impact:min_impact=12,impact:max_impact=22
- (Facultatif) Pour corriger les types de règles sélectionnés, cliquez sur Modifier la règle pour revenir à la page précédente.
- Lorsque vous avez terminé, cliquez sur Créer une règle pour terminer la règle ou cliquez sur Mettre à jour la règle si vous modifiez une règle existante.