La barra laterale Gestisci avviso consente di creare una regola corrispondente a tutti gli eventi successivi rilevati da NSX Network Detection and Response. Quando un evento corrisponde a una regola, viene applicata l'azione della regola.

Accesso alla barra laterale

È possibile accedere alla barra laterale Gestisci avviso in uno dei modi seguenti.
  • Da una scheda qualsiasi nella pagina Profilo host, fare clic sul pulsante Azioni host quindi selezionare Gestisci avviso dal menu a discesa. Il pannello della barra laterale viene quindi prepopolato con filtri pertinenti. È possibile modificare queste voci.
  • Fare clic sulla scheda Minacce nella pagina Profilo host. Nella scheda delle minacce, fare clic su Passaggi successivi e selezionare Gestisci avviso dal menu a discesa.
  • Nella vista Dettagli evento imprevisto, selezionare un evento imprevisto specifico e fare clic su Gestisci avviso.
  • Nella pagina Gestione avvisi fare clic su icona aggiungi regola nel widget Regole personalizzate.

La barra laterale Gestisci avviso è costituita da tre pannelli separati: FILTRI, AZIONI e RIVEDI REGOLA. Ciascun pannello viene visualizzato in base al passaggio attualmente visualizzato tra Crea regola o Modifica regola.

È possibile chiudere la barra laterale Gestisci avviso facendo clic su X nell'angolo superiore destro. Se sono state apportate modifiche, è necessario confermare la chiusura della barra laterale.

Per creare o modificare una regola, è necessario eseguire tre passaggi nella barra laterale Gestisci avviso.

Passaggio 1: creare o modificare i filtri

La scheda Filtri ha due modalità di modifica che si possono utilizzare quando si usano filtri: Base (per impostazione predefinita) e Avanzate. In entrambe le modalità è possibile creare o modificare i filtri.
  • Per passare dalla modalità Crea/Modifica alla modalità Avanzate, fare clic sulla scheda Avanzate nella parte superiore della barra laterale.
  • Per tornare alla modalità Base, fare clic sulla scheda Base (vedere Nota importante).
Per creare un filtro in modalità Base, eseguire i passaggi seguenti.
  1. Fare clic su Aggiungi nuovo filtro+.
  2. Selezionare un filtro dal menu a discesa delle voci di filtro.

    I filtri sono raggruppati in quattro categorie: Origine, URL, Rilevamento e File. Per ulteriori dettagli su queste categorie, vedere la sezione Immissioni attributi in Sintassi della regola di avviso.

  3. In base al tipo di regola selezionato, impostarne il valore. Questo potrebbe richiedere il clic di attivazione/disattivazione, l'immissione di un valore, la selezione di un elemento da un menu a discesa o altri elementi.

    Per modificare i filtri, scorrere l'elenco, selezionare un filtro e modificare i valori appropriati. Eliminare un filtro indesiderato cliccando. È inoltre possibile selezionare più filtri.

Per creare filtri in modalità Avanzate, compilare la casella di testo Espressione corrispondente e aggiungere o modificare un filtro utilizzando la sintassi delle regole di avviso. Ad esempio, 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
Importante: In genere è possibile passare da una modalità di modifica della barra laterale all'altra; tuttavia se il filtro delle espressioni corrispondente creato o modificato non è supportato dalla modalità Base, il collegamento Base è disabilitato e la scheda FILTRI viene impostata per impostazione predefinita sull'editor Avanzate.

Passaggio 2: definire l'azione

Dopo aver definito o modificato un filtro, per definire le azioni della regola, fare clic su Definisci azioni nell'angolo in basso a destra. Il pannello Azioni ha due modalità di modifica: Azioni di base (per impostazione predefinita) e Azioni avanzate:

  • Fare clic sulla scheda Azioni avanzate nella parte superiore della barra laterale per passare dalla modalità di creazione/modifica alla modalità Avanzate.
  • Fare clic sul collegamento Azioni di base per passare nuovamente alla modalità Base.

Sono disponibili due interruttori nel pannello Azioni in modalità Azioni di base: Gestisci avviso e Impatto personalizzato (1-100).

Elimina azione
  1. Fare clic sull'interruttore Gestisci avviso.
  2. Dal menu a discesa, selezionare Abbassa a livello Evento INFORMATIVO (per impostazione predefinita) o Elimina.

    L'azione Abbassa di livello converte gli eventi di rete successivi che corrispondono alla regola in eventi INFO. Nota: è necessario selezionare INFORMATIVO con il filtro del risultato dell'evento.

    L'azione Elimina elimina gli eventi corrispondenti dal portale utente.

    Avviso: Non è più possibile accedere ad alcun'evento eliminato.
Impatto personalizzato
  1. Fare clic sull'interruttore Impatto personalizzato (1-100).
  2. Fare clic sui pulsanti di opzione per selezionare Intervallo definito o Valore singolo. Se si seleziona Intervallo definito immettere i valori minimo e massimo nelle rispettive caselle di testo. Se si seleziona Valore singolo, immettere il valore nella casella di testo.
È inoltre possibile definire le azioni utilizzando il pannello azioni Avanzate.
  1. Fare clic sulla scheda Azioni avanzate.
  2. Nella casella di testo, aggiungere o modificare un'azione utilizzando la sintassi delle regole di avviso.
    Ad esempio: 
    demote:outcome=TEST
    oppure 
    impact:min_impact=12,impact:max_impact=22

Dopo aver selezionato l'azione, fare clic su Rivedi regola per andare al passaggio successivo.

Per correggere i filtri selezionati, fare clic su Filtri per tornare al pannello Filtri precedente.

Passaggio 3: rivedere la regola

Il pannello Rivedi regola consente di verificare la regola dell'avviso.
  1. Nella casella di testo Nome regola, immettere un nome.

    Se si sta modificando una regola esistente, non è possibile modificare il nome.

  2. (Facoltativo) Utilizzare il menu a discesa per selezionare una licenza.

    Questo menu a discesa è disabilitato se viene avviata la barra laterale Gestisci avviso dalla pagina Gestione avvisi o se si sta modificando una regola esistente.

  3. Nella sezione Riepilogo regola verificare i filtri selezionati elencati.
    Se la scheda Filtri è stata lasciata in modalità Base, il riepilogo è costituito da un elenco dei filtri selezionati. Ciascun filtro viene visualizzato con il nome e i valori associati. Ad esempio: 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    Se la scheda Filtri è stata lasciata in modalità Avanzate, il riepilogo visualizza l'espressione corrispondente. Ad esempio: 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    Se la scheda Azioni è stata lasciata in modalità Azioni di base, il riepilogo visualizza l'azione. Ad esempio: 
    SUPPRESSION ALERT
Demote to INFO event
    Se la scheda Azioni è stata lasciata in modalità azioni Avanzate, nel riepilogo viene visualizzata l'azione. Ad esempio: 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (Facoltativo) Per correggere i tipi di regola selezionati, fare clic su Modifica regola per tornare alla pagina precedente.
  5. Al termine, fare clic su Crea regola per completare la regola oppure su Aggiorna regola se si sta modificando una regola esistente.