경고 관리 사이드바를 사용하면 NSX Network Detection and Response에서 감지된 모든 후속 이벤트와 일치하는 규칙을 생성할 수 있습니다. 이벤트가 규칙과 일치하면 규칙 작업이 적용됩니다.

사이드바에 액세스

다음 방법 중 하나로 경고 관리 사이드바에 액세스할 수 있습니다.
  • 호스트 프로파일 페이지의 탭에서 호스트 작업 버튼을 클릭한 다음, 풀다운 메뉴에서 [경고 관리]를 선택합니다. 그런 다음, 사이드바 패널이 관련 필터로 미리 채워집니다. 이러한 항목을 편집할 수 있습니다.
  • 호스트 프로파일 페이지에서 위협 탭을 클릭합니다. 위협 카드에서 다음 단계를 클릭하고 풀다운 메뉴에서 경고 관리를 선택합니다.
  • 인시던트 세부 정보 보기에서 특정 인시던트를 선택하고 경고 관리를 클릭합니다.
  • 경고 관리 페이지에서 사용자 지정 규칙 위젯에 있는 규칙 추가 아이콘을 클릭합니다.

경고 관리 사이드바는 [필터], [작업] 및 [규칙 검토]의 세 가지 개별 패널로 구성됩니다. 각 패널은 현재 작업 중인 [규칙 생성] 또는 [규칙 편집]의 단계에 따라 표시됩니다.

오른쪽 상단 모서리에 있는 X를 클릭하여 경고 관리 사이드바를 닫을 수 있습니다. 변경한 경우 사이드바를 닫도록 확인해야 합니다.

규칙을 생성하거나 편집하려면 경고 관리 사이드바에서 세 단계를 수행해야 합니다.

1단계: 필터 생성 또는 편집

필터 탭에는 필터를 사용할 때 사용할 수 있는 두 가지 편집 모드인 기본(기본값)과 고급 모드가 있습니다. 두 모드에서 필터를 생성하거나 편집할 수 있습니다.
  • 생성/편집 모드를 고급 모드로 전환하려면 사이드바 맨 위에 있는 고급 탭을 클릭합니다.
  • 기본 모드로 다시 전환하려면 기본 탭을 클릭합니다(중요 참고 사항 참조).
기본 모드에서 필터를 생성하려면 다음 단계를 수행합니다.
  1. 새 필터 추가+를 클릭합니다.
  2. 필터 항목 드롭다운 메뉴에서 필터를 선택합니다.

    필터는 [소스], [URL], [감지] 및 [파일]의 네 가지 범주로 그룹화됩니다. 이러한 범주에 관한 자세한 내용은 경고 규칙 구문의 특성 항목 섹션을 참조하십시오.

  3. 선택한 규칙 유형에 따라 해당 값을 설정합니다. 여기에는 토글을 클릭하거나, 값을 입력하거나, 풀다운 메뉴에서 항목을 선택하는 등의 작업이 포함될 수 있습니다.

    필터를 편집하려면 목록을 스크롤하고 필터를 선택한 다음, 적절한 값을 수정합니다. 원치 않는 필터는 클릭하여 삭제합니다. 더 많은 필터를 선택할 수도 있습니다.

고급 모드에서 필터를 생성하려면 일치 식 텍스트 상자를 채우고 경고 규칙 구문을 사용하여 필터를 추가하거나 편집합니다. 예를 들면 다음과 같습니다. 
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
중요: 일반적으로 두 사이드바 편집 모드 간에 전환할 수 있습니다. 그러나 생성하거나 편집한 일치 식 필터가 기본 모드에서 지원되지 않는 경우 기본 링크가 사용되지 않도록 설정되고 필터 탭이 기본적으로 고급 편집기로 설정됩니다.

2단계: 작업 정의

필터를 정의하거나 편집한 후 규칙 작업을 정의하려면 오른쪽 아래 모서리에 있는 작업 정의를 클릭합니다. 작업 패널에는 기본 작업(기본값) 및 고급 작업의 두 가지 편집 모드가 있습니다.

  • 사이드바 맨 위에 있는 고급 작업 탭을 클릭하여 생성/편집 모드를 고급 모드로 전환합니다.
  • 기본 모드로 다시 전환하려면 기본 작업 링크를 클릭합니다.

기본 작업 모드의 작업 패널에는 경고 관리사용자 지정 영향(1-100)의 두 가지 토글이 있습니다.

억제 작업
  1. 경고 관리 토글을 클릭합니다.
  2. 드롭다운 메뉴에서 정보 이벤트로 강등(기본값) 또는 삭제를 선택합니다.

    강등 작업은 규칙과 일치하는 후속 네트워크 이벤트를 INFO 이벤트로 변환합니다. [이벤트 결과] 필터를 사용하여 [정보]를 선택해야 합니다.

    삭제 작업은 사용자 포털에서 일치하는 이벤트를 삭제합니다.

    경고: 삭제된 모든 이벤트에는 더 이상 액세스할 수 없습니다.
사용자 지정 영향
  1. 사용자 지정 영향(1-100) 토글을 클릭합니다.
  2. 라디오 버튼을 클릭하여 정의된 범위 또는 단일 값을 선택합니다. 범위 정의를 선택한 경우 텍스트 상자에 최솟값과 최댓값을 입력합니다. 단일 값을 선택한 경우 텍스트 상자에 값을 입력합니다.
[고급 작업] 패널을 사용하여 작업을 정의할 수도 있습니다.
  1. 고급 작업 탭을 클릭합니다.
  2. 텍스트 상자에서 경고 규칙 구문을 사용하여 작업을 추가하거나 편집합니다.
    예: 
    demote:outcome=TEST
    또는 
    impact:min_impact=12,impact:max_impact=22

작업을 선택한 후 규칙 검토를 클릭하여 다음 단계로 이동합니다.

선택한 필터를 수정하려면 필터를 클릭하여 이전 필터 패널로 돌아갑니다.

3단계: 규칙 검토

[규칙 검토] 패널에서는 경고 규칙을 확인할 수 있습니다.
  1. 규칙 이름 텍스트 상자에 이름을 입력합니다.

    기존 규칙을 편집하는 경우에는 이름을 변경할 수 없습니다.

  2. (선택 사항) 드롭다운 메뉴를 사용하여 라이센스를 선택합니다.

    이 드롭다운 메뉴는 경고 관리 페이지에서 경고 관리 사이드바를 실행하거나 기존 규칙을 편집하는 경우 사용하지 않도록 설정됩니다.

  3. 규칙 요약 섹션에서 나열된 선택된 필터를 확인합니다.
    필터 탭이 기본 모드로 남아 있는 경우 요약은 선택한 필터 목록으로 구성됩니다. 각 필터는 이름과 값으로 표시됩니다. 예: 
    Rule summary
SERVER IP
12.6.6.6/32
RELEVANT HOST SILENCED
1
THREAT(S)
Torn rat
THREAT CLASS
Malicious file execution
    필터 탭이 고급 모드로 남아 있는 경우 요약에 일치 식이 표시됩니다. 예: 
    Rule summary
(network_event.server_ip: 12.6.6.6/32) AND
(network_event.relevant_host_whitelisted: 1)
AND (network_event.threat: Torn RAT) AND
(network_event.threat_class: Malicious File
Execution)
    작업 탭이 기본 작업 모드로 남아 있는 경우 요약에 작업이 표시됩니다. 예: 
    SUPPRESSION ALERT
Demote to INFO event
    작업 탭이 고급 작업 모드로 남아 있으면 요약에 작업이 표시됩니다. 예: 
    ACTION
impact:min_impact=12,impact:max_impact=22
  4. (선택 사항) 선택한 규칙 유형을 수정하려면 규칙 편집을 클릭하여 이전 페이지로 돌아갑니다.
  5. 완료되면 규칙 생성을 클릭하여 규칙을 완료하고, 기존 규칙을 편집하는 경우에는 규칙 업데이트를 클릭합니다.