NSX Network Detection and Response アプリケーションにあるフィルタリング メカニズムにより、目的とする特定のイベント情報にフォーカスできます。フィルタの使用はオプションです。

手順

  1. [イベント] ページで プラス アイコン をクリックして、[フィルタ] ウィジェットを展開します。
  2. [フィルタ オン] テキスト ボックス内の任意の場所をクリックし、ドロップダウン メニューで項目を選択します。

    以下の利用可能なフィルタから選択できます。表示される情報のフォーカスをさらに絞り込むには、複数のフィルタを組み合わせます。

    フィルタ名

    説明

    [イベントの結果]

    ドロップダウン メニューから [すべて] または [情報] を選択します。

    デフォルトでは、脅威に関連すると判断されたイベントが表示されます。[情報] を選択すると、それ自体で情報を提供するイベントのみが含まれます。これらのイベントを追跡することで、ネットワークでのアクティビティに対する判断材料がさらに取得できます。

    [ホーム ネットワーク]

    表示されるイベントを、ホーム ネットワーク設定によって、ドロップダウン メニューを使用して制限します。[ホーム ネットワークのみ] は、定義済みのホーム ネットワーク内のイベントの場合に選択します。[未確認のネットワークのみ] は、不明なホストからのイベントの場合に選択します。

    [ホスト IP]

    表示されるイベントを、特定の送信元 IP アドレス、IP アドレス範囲、または CIDR ブロックに制限します。有効な値を [ホスト IP] テキスト ボックスに入力します。

    [ホスト名]

    表示されるイベントを、特定の送信元のホスト名に制限します。完全なホスト名かラベルを指定する必要があります。

    [インシデント ID]

    指定したインシデントに属するイベントを表示します。インシデント ID とは、73142 などの数値エントリとなります。有効なインシデント ID を指定する必要があります。

    [最小の影響]

    最小の影響レベルをスコア付けしたイベントを表示します。範囲は 1 ~ 100 です。

    [その他のホスト]

    表示されるイベントを、特定のホスト名に制限します。

    [その他のホスト IP]

    表示されるイベントを、特定のホスト IP アドレスに制限します。IP アドレスには、1 つ以上の IP アドレス、CIDR ブロック(192.168.0.0/24 など)、または IP アドレス範囲(1.1.1.5-1.1.1.9 など)を入力します。

    [ポート]

    特定の TCP/UDP ポートを使用してイベントを表示します。表示されたイベントをさらにフィルタリングするには、これと [トランスポート] フィルタとを組み合わせます。

    [優先度]

    表示されるイベントを、優先度の状態によって制限します。ドロップダウン メニューから [感染][ウォッチリスト]、または [迷惑行為] を選択します。

    詳細については、時間の経過に伴う感染を参照してください。

    [脅威]

    表示されるインシデントを、特定の脅威によって制限します。ドロップダウン メニューから脅威を選択します。メニューには、脅威のカタログのリストがあらかじめ入力されています。

    メニューの上部にある検索機能を使用すると、脅威の名前がすばやく見つかります。

    [脅威クラス]

    表示内容を、特定のクラスのイベントに制限します。ドロップダウン メニューから脅威クラスを選択します。メニューには、クラスのカタログがあらかじめ入力されています。

    [トランスポート]

    イベントを、特定のトランスポート レイヤー プロトコルを使用して表示します。ドロップダウン メニューから [TCP] または [UDP] を選択します。

  3. 選択したフィルタを適用するには、[適用] をクリックします。

    選択したフィルタが適用され、[イベント] リストが更新されます。

  4. (オプション) フィルタを個別に削除するには、エントリの横にある [削除] ボタンをクリックします。選択したフィルタをすべて削除するには、[フィルタ] ウィジェットの右側にある [X] アイコンをクリックします。

    選択したフィルタをすべて削除すると、[フィルタ] ウィジェットが折りたたまれます。