管理警示側邊列可讓您建立會與 NSX Network Detection and Response 偵測到的所有後續事件進行比對的規則。一旦有事件符合規則,就會套用規則動作。

存取側邊列

您可以透過下列其中一個方法來存取 管理警示側邊列。
  • 主機設定檔頁面上的任何索引標籤中,按一下主機動作按鈕,然後從下拉式功能表中選取 [管理警示]。側邊列面板隨即會預先填入相關篩選器。您可以編輯這些項目。
  • 按一下主機設定檔頁面上的威脅索引標籤。在威脅卡片上,按一下後續步驟,然後從下拉式功能表中選取管理警示
  • 事件集詳細資料視圖中選取特定的事件集,並按一下管理警示
  • 警示管理頁面中,按一下自訂規則 Widget 中的 新增規則圖示

管理警示側邊列包含三個個別的面板:[篩選器]、[動作] 和 [檢閱規則]。這些面板是否會顯示,取決於您目前所在的 [建立規則] 或 [編輯規則] 步驟。

您可以按一下右上角的 X 以關閉管理警示側邊列。如果有進行變更,則必須確認才能關閉該側邊列。

若要建立或編輯規則,您必須在管理警示側邊列中執行三個步驟。

步驟 1:建立或編輯篩選器

篩選器索引標籤有兩種編輯模式可供您在使用篩選器時使用:基本 (預設值) 和進階。您可以在任一模式下建立或編輯篩選器。
  • 若要將建立/編輯模式切換為進階模式,請按一下側邊列頂端的進階索引標籤。
  • 若要切換回基本模式,請按一下基本索引標籤 (但請看一下重要注意事項)。
若要在基本模式下建立篩選器,請執行以下步驟。
  1. 按一下新增篩選器+
  2. 從篩選器項目下拉式功能表中選取篩選器。

    篩選器分為四類:來源、URL、偵測和檔案。有關這些類別的更多詳細資料,請參閱警示規則語法中的〈屬性項目〉一節。

  3. 根據所選取的規則類型來設定其值。這可能涉及按一下切換按鈕、輸入值、從下拉式功能表中選取項目等操作。

    若要編輯篩選器,請捲動清單、選取篩選器,然後修改適當的值。按一下不需要的篩選器即可將其刪除。您也可以選取更多篩選器。

若要在進階模式下建立篩選器,請填寫 相符運算式文字方塊,然後使用警示規則語法來新增或編輯篩選器。例如,
(network_event.relevant_host_ip: 10.154.115.91 OR network_event.relevant_host_ip: 10.1.1.1-10.255.255.255) AND NOT 
(network_event.server_port: 53 OR network_event.server_port: 65535) OR (network_event.other_host_hostname: block.lastline.com) AND 
(network_event.threat: Lastline blocking test)
重要: 通常,您可以在兩種側邊列編輯模式之間進行切換,但如果基本模式不支援您建立或編輯的相符運算式篩選器,系統便會停用 基本連結,而且 篩選器索引標籤會預設為進階編輯器。

步驟 2:定義動作

在定義或編輯篩選器後,若要定義規則動作,請按一下右下角的定義動作動作面板有兩種編輯模式:基本動作 (預設值) 和進階動作:

  • 按一下側邊列頂端的進階動作索引標籤,可將建立/編輯模式切換到進階模式。
  • 按一下基本動作連結則可切換回基本模式。

基本動作模式下的動作面板上有兩個切換按鈕:管理警示自訂影響 (1-100)

隱藏動作
  1. 按一下管理警示切換按鈕。
  2. 從下拉式功能表中選取降級到資訊事件 (預設值) 或刪除

    降級動作會將與規則相符的後續網路事件轉換為 INFO 事件。請注意,您必須在事件結果篩選器中選取 [資訊]。

    刪除動作會從使用者入口網站中刪除相符的事件。

    警告: 已刪除的事件就無法再供您存取。
自訂影響
  1. 按一下自訂影響 (1-100) 切換按鈕。
  2. 按一下選項按鈕以選取定義的範圍單一值。如果選取了定義的範圍,請在相應的文字方塊中輸入最小值和最大值。如果選取了單一值,請在文字方塊中輸入該值。
您還可以使用 [進階動作] 面板來定義動作。
  1. 按一下進階動作索引標籤。
  2. 在文字方塊中,使用警示規則語法來新增或編輯動作。
    例如:
    demote:outcome=TEST
    impact:min_impact=12,impact:max_impact=22

在選取動作後,按一下檢閱規則以移至下一個步驟。

若要修正所選取的篩選器,請按一下篩選器以回到先前的篩選器面板。

步驟 3:檢閱規則

[檢閱規則] 面板可讓您確認警示規則。
  1. 在 [規則名稱] 文字方塊中輸入名稱。

    如果要編輯現有規則,則無法變更名稱。

  2. (選用) 使用下拉式功能表來選取授權。

    如果您從警示管理頁面啟動管理警示側邊列,或者您正在編輯現有規則,此下拉式功能表便會停用。

  3. 規則摘要區段中,確認列出的所選篩選器。
    如果 篩選器索引標籤處於基本模式,則摘要內會包含所選篩選器的清單。每個篩選器在顯示時都會顯示其名稱和值。例如:
    Rule summary
    SERVER IP
    12.6.6.6/32
    RELEVANT HOST SILENCED
    1
    THREAT(S)
    Torn rat
    THREAT CLASS
    Malicious file execution
    如果 篩選器索引標籤處於進階模式,則摘要會顯示相符運算式。例如:
    Rule summary
    (network_event.server_ip: 12.6.6.6/32) AND
    (network_event.relevant_host_whitelisted: 1)
    AND (network_event.threat: Torn RAT) AND
    (network_event.threat_class: Malicious File
    Execution)
    如果 動作索引標籤處於基本動作模式,則摘要會顯示動作。例如:
    SUPPRESSION ALERT
    Demote to INFO event
    如果 動作索引標籤處於進階動作模式,則摘要會顯示動作。例如:
    ACTION
    impact:min_impact=12,impact:max_impact=22
  4. (選用) 若要修正所選取的規則類型,請按一下編輯規則以回到上一頁。
  5. 完成後,按一下建立規則以完成規則,如果您正在編輯現有規則,則按一下更新規則