[アラートの管理] サイドバーでは、NSX Network Detection and Response によって検出された後続のすべてのイベントと照合されるルールを作成できます。イベントがルールに一致すると、ルール アクションが適用されます。

サイドバーへのアクセス

[アラートの管理] サイドバーには、次のいずれかの方法でアクセスできます。
  • [ホスト プロファイル] ページのいずれかのタブで、[ホスト アクション] ボタンをクリックし、プルダウン メニューから [アラートの管理] を選択します。そうすると、サイドバー パネルには、関連するフィルタがあらかじめ入力されています。これらのエントリは編集することができます。
  • [ホスト プロファイル] ページで [脅威] タブをクリックします。脅威カードで、[次の手順] をクリックし、プルダウン メニューから [アラートの管理] を選択します。
  • [インシデントの詳細] ビューで特定のインシデントを選択し、[アラートの管理] をクリックします。
  • [アラート管理] ページで、[カスタム ルール] ウィジェットの ルールの追加 アイコンをクリックします。

[アラートの管理] サイドバーは、[フィルタ]、[アクション]、[ルールの確認] の 3 つの別個のパネルで構成されています。各パネルは、現在 [ルールの作成] または [ルールの編集] のどの手順にあるかに応じて表示されます。

[アラートの管理] サイドバーを閉じるには、右上隅にある [X] をクリックします。変更を行った場合は、サイドバーを閉じることを確認する必要があります。

ルールを作成または編集するには、[アラートの管理] サイドバーで 3 つの手順を実行する必要があります。

手順 1:フィルタの作成または編集

[フィルタ] タブには、フィルタを操作するときに使用できる編集モードとして、基本(デフォルト)と詳細の 2 つがあります。どちらのモードでも、フィルタを作成または編集できます。
  • 作成/編集モードを詳細モードに切り替えるには、サイドバーの上部にある [詳細] タブをクリックします。
  • 基本モードに再び切り替えるには、[基本] タブをクリックします(ただし、重要を参照してください)。
基本モードでフィルタを作成するには、次の手順を実行します。
  1. [新しいフィルタの追加 +] をクリックします。
  2. フィルタ エントリ ドロップダウン メニューからフィルタを選択します。

    フィルタは、送信元、URL、検出、ファイルの 4 つのカテゴリにグループ化されています。これらのカテゴリの詳細については、アラート ルールの構文の「属性エントリ」セクションを参照してください。

  3. 選択したルール タイプに応じて、その値を設定します。トグルのクリック、値の入力、プルダウン メニューからの項目の選択などになります。

    フィルタを編集するには、リストをスクロールし、フィルタを選択してから、該当する値を変更します。不要なフィルタは、クリックして削除します。フィルタをさらに選択することもできます。

詳細モードでフィルタを作成するには、 [照合式] テキスト ボックスに入力し、アラート ルール構文を使用してフィルタを追加または編集します。次はその例です。 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
重要: 通常の場合はサイドバーの 2 つの編集モードを切り替えることができますが、作成または編集した照合式フィルタが基本モードでサポートされていない場合、 [基本] リンクは無効になり、 [フィルタ] タブはデフォルトで詳細エディタになります。

手順 2:アクションの定義

フィルタを定義または編集した後、ルール アクションを定義するには、右下隅にある [アクションの定義] をクリックします。[アクション] パネルには、基本アクション(デフォルト)と詳細アクションの 2 つの編集モードがあります。

  • サイドバーの上部にある [詳細アクション] タブをクリックすると、作成/編集モードが詳細モードに切り替わります。
  • [基本アクション] リンクをクリックすると、再び基本モードに切り替わります。

基本アクション モードの [アクション] パネルには、[アラートの管理][カスタム影響(1 ~ 100)] の 2 つのトグルがあります。

アクションの抑止
  1. [アラートの管理] トグルをクリックします。
  2. ドロップダウン メニューから [INFO イベントに降格] (デフォルト)または [削除] を選択します。

    降格アクションでは、ルールと一致する後続のネットワーク イベントを INFO イベントに変換します。[イベントの結果] フィルタで INFO を選択する必要があることに注意してください。

    削除アクションを実行すると、一致するイベントがユーザー ポータルから削除されます。

    注意: 削除されたイベントには、アクセスできなくなります。
カスタム影響
  1. [カスタム影響(1 ~ 100)] トグルをクリックします。
  2. ラジオ ボタンをクリックして、[定義済みの範囲] または [単一の値] を選択します。[定義済みの範囲] を選択した場合は、最小値と最大値をそれぞれのテキスト ボックスに入力します。[単一の値] を選択した場合は、値をテキスト ボックスに入力します。
アクションは、詳細アクション パネルを使用して定義することもできます。
  1. [詳細アクション] タブをクリックします。
  2. テキスト ボックスで、アラート ルールの構文を使用してアクションを追加または編集します。
    次はその例です。 
    demote:outcome=TEST
    または 
    impact:min_impact=12,impact:max_impact=22

アクションを選択したら、[ルールの確認] をクリックして次の手順に進みます。

選択したフィルタを修正するには、[フィルタ] をクリックして、前の [フィルタ] パネルに戻ります。

手順 3:ルールの確認

[ルールの確認] パネルで、アラート ルールを確認できます。
  1. [ルール名] テキスト ボックスに、名前を入力します。

    既存のルールを編集している場合、名前の変更はできません。

  2. (オプション)ドロップダウン メニューを使用してライセンスを選択します。

    このドロップダウン メニューは、[アラート管理] ページから [アラートの管理] サイドバーを起動した場合や既存のルールを編集している場合、無効になります。

  3. [ルールのサマリ] セクションで、リストされている選択済みのフィルタを確認します。
    [フィルタ] タブが基本モードになっている場合、サマリは選択済みのフィルタのリストで構成されます。フィルタごとに名前と値が表示されます。次はその例です。 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    [フィルタ] タブが詳細モードになっている場合、サマリには照合式が表示されます。次はその例です。 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    [アクション] タブが基本アクション モードになっている場合、サマリにはアクションが表示されます。次はその例です。 
    SUPPRESSION ALERT
Demote to INFO event
    [アクション] タブが詳細アクション モードになっている場合、サマリにはアクションが表示されます。次はその例です。 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (オプション)選択したルール タイプを修正するには、[ルールの編集] をクリックして前のページに戻ります。
  5. 完了したら、[ルールの作成] をクリックしてルールを完成するか、既存のルールを編集している場合は [ルールの更新] をクリックします。