管理警示側邊列可讓您建立會與 NSX Network Detection and Response 偵測到的所有後續事件進行比對的規則。一旦有事件符合規則,就會套用規則動作。
存取側邊列
您可以透過下列其中一個方法來存取
管理警示側邊列。
- 在主機設定檔頁面上的任何索引標籤中,按一下主機動作按鈕,然後從下拉式功能表中選取 [管理警示]。側邊列面板隨即會預先填入相關篩選器。您可以編輯這些項目。
- 按一下主機設定檔頁面上的威脅索引標籤。在威脅卡片上,按一下後續步驟,然後從下拉式功能表中選取管理警示。
- 在事件集詳細資料視圖中選取特定的事件集,並按一下管理警示。
- 在警示管理頁面中,按一下自訂規則 Widget 中的 。
管理警示側邊列包含三個個別的面板:[篩選器]、[動作] 和 [檢閱規則]。這些面板是否會顯示,取決於您目前所在的 [建立規則] 或 [編輯規則] 步驟。
您可以按一下右上角的 X 以關閉管理警示側邊列。如果有進行變更,則必須確認才能關閉該側邊列。
若要建立或編輯規則,您必須在管理警示側邊列中執行三個步驟。
步驟 1:建立或編輯篩選器
篩選器索引標籤有兩種編輯模式可供您在使用篩選器時使用:基本 (預設值) 和進階。您可以在任一模式下建立或編輯篩選器。
- 若要將建立/編輯模式切換為進階模式,請按一下側邊列頂端的進階索引標籤。
- 若要切換回基本模式,請按一下基本索引標籤 (但請看一下重要注意事項)。
若要在基本模式下建立篩選器,請執行以下步驟。
- 按一下新增篩選器+。
- 從篩選器項目下拉式功能表中選取篩選器。
篩選器分為四類:來源、URL、偵測和檔案。有關這些類別的更多詳細資料,請參閱警示規則語法中的〈屬性項目〉一節。
- 根據所選取的規則類型來設定其值。這可能涉及按一下切換按鈕、輸入值、從下拉式功能表中選取項目等操作。
若要編輯篩選器,請捲動清單、選取篩選器,然後修改適當的值。按一下不需要的篩選器即可將其刪除。您也可以選取更多篩選器。
若要在進階模式下建立篩選器,請填寫
相符運算式文字方塊,然後使用警示規則語法來新增或編輯篩選器。例如,
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT (network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND (network_event.threat: Lastline blocking test)
重要: 通常,您可以在兩種側邊列編輯模式之間進行切換,但如果基本模式不支援您建立或編輯的相符運算式篩選器,系統便會停用
基本連結,而且
篩選器索引標籤會預設為進階編輯器。
步驟 2:定義動作
在定義或編輯篩選器後,若要定義規則動作,請按一下右下角的定義動作。動作面板有兩種編輯模式:基本動作 (預設值) 和進階動作:
- 按一下側邊列頂端的進階動作索引標籤,可將建立/編輯模式切換到進階模式。
- 按一下基本動作連結則可切換回基本模式。
基本動作模式下的動作面板上有兩個切換按鈕:管理警示和自訂影響 (1-100)。
- 隱藏動作
-
- 按一下管理警示切換按鈕。
- 從下拉式功能表中選取降級到資訊事件 (預設值) 或刪除。
降級動作會將與規則相符的後續網路事件轉換為
INFO
事件。請注意,您必須在事件結果篩選器中選取 [資訊]。刪除動作會從使用者入口網站中刪除相符的事件。
警告: 已刪除的事件就無法再供您存取。
- 自訂影響
-
- 按一下自訂影響 (1-100) 切換按鈕。
- 按一下選項按鈕以選取定義的範圍或單一值。如果選取了定義的範圍,請在相應的文字方塊中輸入最小值和最大值。如果選取了單一值,請在文字方塊中輸入該值。
您還可以使用 [進階動作] 面板來定義動作。
- 按一下進階動作索引標籤。
- 在文字方塊中,使用警示規則語法來新增或編輯動作。
例如:
demote:outcome=TEST
或impact:min_impact=12,impact:max_impact=22
在選取動作後,按一下檢閱規則以移至下一個步驟。
若要修正所選取的篩選器,請按一下篩選器以回到先前的篩選器面板。
步驟 3:檢閱規則
[檢閱規則] 面板可讓您確認警示規則。
- 在 [規則名稱] 文字方塊中輸入名稱。
如果要編輯現有規則,則無法變更名稱。
- (選用) 使用下拉式功能表來選取授權。
如果您從警示管理頁面啟動管理警示側邊列,或者您正在編輯現有規則,此下拉式功能表便會停用。
- 在規則摘要區段中,確認列出的所選篩選器。
如果 篩選器索引標籤處於基本模式,則摘要內會包含所選篩選器的清單。每個篩選器在顯示時都會顯示其名稱和值。例如:
Rule summary SERVER IP 12.6.6.6/32 RELEVANT HOST SILENCED 1 THREAT(S) Torn rat THREAT CLASS Malicious file execution
如果 篩選器索引標籤處於進階模式,則摘要會顯示相符運算式。例如:Rule summary (network_event.server_ip: 12.6.6.6/32) AND (network_event.relevant_host_whitelisted: 1) AND (network_event.threat: Torn RAT) AND (network_event.threat_class: Malicious File Execution)
如果 動作索引標籤處於基本動作模式,則摘要會顯示動作。例如:SUPPRESSION ALERT Demote to INFO event
如果 動作索引標籤處於進階動作模式,則摘要會顯示動作。例如:ACTION impact:min_impact=12,impact:max_impact=22
- (選用) 若要修正所選取的規則類型,請按一下編輯規則以回到上一頁。
- 完成後,按一下建立規則以完成規則,如果您正在編輯現有規則,則按一下更新規則。