Sie verwenden die Syntax für Warnungsregeln, um die Aktionen zu definieren, die NSX Network Detection and Response durchführen müssen, wenn Ereignisse einem Filter entsprechen.
Eine Warnungsregel besteht aus zwei Teilen: übereinstimmender Ausdruck und Aktionen.
- Übereinstimmender Ausdruck
-
Eine Kombination aus Klauseln, die eine Bedingung für die Attribute eines Objekts ausdrücken.
Ein übereinstimmender Ausdruck hat das folgende Format:
object_type . attribute_type: [relation]value
Der übereinstimmende Ausdruck besteht aus den folgenden vier Teilen.Teilename Beschreibung object_type Der Objekttyp, der abgeglichen werden soll. Der folgende Datensatztyp wird unterstützt: - network_event
Der Objekttyp und sein Attribut sind durch einen Punkt (
.
) getrennt.attribute_type Das Attribut, das abgeglichen werden soll (siehe Attributeinträge).
Der object_type.attribute_type wird durch einen Doppelpunkt (
:
) von [relation] und value getrennt.[relation] Die Beziehung zwischen dem Objekt und seinem Attribut sowie der Wert, auf den abgeglichen werden soll. Wenn keine Beziehung angegeben ist, ist „Gleichheit“ die Standardeinstellung. Unterstützte Beziehungstypen sind folgende:
-
Gleichheit (
:
) -
Größer als oder gleich (
>
,>=
) -
Kleiner als oder gleich (
<
,<=
)
Wert Der Wert, der mit dem object_type.attribute_type der eingehenden Ereignisse abgeglichen werden soll. Mehrere übereinstimmende Ausdrücke werden durch die logischen Operatoren
AND
,OR
undNOT
getrennt. - Aktionen
-
Eine oder mehrere Änderungen, die für das Objekt durchgeführt werden müssen.
Eine Aktion hat das folgende Format:
action : target = value
Die Aktion besteht aus drei Teilen:Teilename Beschreibung Aktion Die auszuführende Aktion (siehe Unterstützte Aktionen). Die Aktion und ihr Ziel werden durch einen Doppelpunkt ( :
) getrennt.Ziel Das unterstützte Ziel. Wert Der optionale Wert, der auf das Ziel angewendet werden soll. Mehrere Aktionen werden durch ein Komma (
,
) getrennt und in derselben Reihenfolge angewendet, in der sie definiert wurden.
Attributeinträge
- QUELLE
-
Attribut „Quelle“ Beschreibung client_ip
Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.
(network_event.client_ip: 142.42.1.6/24)
other_host_hostname
Entspricht dem Hostnamen des anderen Hosts, der dem Ereignis zugeordnet ist. Platzhaltervergleiche werden unterstützt:
*
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen.(network_event.other_host_hostname: host.example.com)
other_host_in_homenet
Bei „true“ wird eine Übereinstimmung erzielt, wenn sich die IP-Adresse des anderen mit dem Ereignis verbundenen Hosts im Home-Netzwerk befindet. Erwartet einen booleschen Wert.
(network_event.other_host_in_homenet: false)
other_host_ip
Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.
(network_event.other_host_ip: 10.10.4.2)
other_host_tag
Entspricht einem Host-Tag. Wählen Sie ein vorhandenes Host-Tag aus.
(network_event.other_host_tag: tag)
relevant_host_in_homenet
Bei „true“ wird eine Übereinstimmung erzielt, wenn sich die IP-Adresse des entsprechenden mit dem Ereignis verbundenen Hosts im Home-Netzwerk befindet. Erwartet einen booleschen Wert.
(network_event.relevant_host_in_homenet: true)
relevant_host_ip
Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.
(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag
Entspricht einem Host-Tag. Wählen Sie ein vorhandenes Host-Tag aus.
(network_event.relevant_host_tag: tag)
relevant_host_whitelisted
Entspricht einer stillgelegten Quell-IP-Adresse. Erwartet einen booleschen Wert.
(network_event.relevant_host_whitelisted: true)
server_ip
Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.
(network_event.server_ip: 12.6.6.6)
server_port
Entspricht einer Portnummer. Es werden ganzzahlige Vergleiche durchgeführt: Gleichheit, Ungleichheit, größer-als, kleiner-als, usw.
(network_event.server_port: 7777)
transport_protocol
Entspricht entweder „TCP“ oder „UDP“.
(network_event.transport_protocol: UDP)
- URL
-
Attribut „URL“ Beschreibung full_url
Entspricht mindestens einer URL im Ereignis. Platzhaltervergleiche werden unterstützt:
*
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen.Beispiel: Das Zeichen für die Abfragezeichenfolge
?
muss mit einem Escape-Zeichen (\?
) versehen werden:(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url
Entspricht mindestens einer normalisierten URL (einer URL ohne Abfragezeichenfolge) im Ereignis. Platzhaltervergleiche werden unterstützt:
*
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen.(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path
Entspricht mindestens einem URL-Ressourcenpfad im Ereignis. Platzhaltervergleiche werden unterstützt: *
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen. - ERKENNUNG
-
Attribut „Erkennung“ Beschreibung custom_ids_rule_id
Entspricht einer ID für eine IDS-Regel. Der numerische Wert muss exakt übereinstimmen.
(network_event.custom_ids_rule_id: 987654321)
detector
Entspricht dem Namen/eindeutigen Bezeichner des Moduls, das das Ereignis erkannt hat. Der Zeichenfolgenwert muss exakt übereinstimmen.
(network_event.detector: llrules:1532130206460)
event_outcome
Entspricht entweder „ERKENNUNG“ oder „INFO“.
(network_event.event_outcome: DETECTION)
event_type
Entspricht einem der Folgenden: „BINARYDOWNLOAD“, „DNS“, „DNSANOMALY“, „DYNAMICIP“, „HTTPANOMALY“, „IDS“, „IP“, „LLANTARULE“, „NETFLOW“, „NETFLOWANOMALY“, „NETWORK“, „TLSANOMALY“ oder „URL“.
(network_event.event_type: IDS)
llanta_rule_uuid
Entspricht der UUID einer Systemregel. Der numerische Wert muss exakt übereinstimmen.
(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation
Entspricht einem der Folgenden: „BLOCK“, „INFO“, „LOG“ oder „TEST“.
(network_event.operation: BLOCK)
threat
Entspricht einer gültigen Zeichenfolge, die eine Bedrohung definiert. Platzhaltervergleiche werden unterstützt:
*
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen.(network_event.threat: Torn RAT)
threat_class
Entspricht einer Bedrohungsklasse. Der Zeichenfolgenwert muss exakt übereinstimmen.
(network_event.threat_class: Malicious File Execution)
- DATEI
-
Dateiattribut Beschreibung av_class
Entspricht mindestens einem
av_class
-Analyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.(network_event.av_class: exploit)
file_category
Entspricht einer der unterstützten Dateikategorien. Der Zeichenfolgenwert muss exakt übereinstimmen.
(network_event.file_category: Java)
file_md5
Entspricht einer gültigen MD5-Summe.
(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1
Entspricht einer gültigen SHA 1-Summe.
(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size
Entspricht einer Dateigröße in Byte. Es muss eine gültige Ganzzahl sein. Es werden ganzzahlige Vergleiche durchgeführt: Gleichheit, Ungleichheit, größer-als, kleiner-als, usw.
(network_event.file_size: > 1042249837)
file_type
Entspricht einer gültigen Zeichenfolge, die einen Dateityp definiert. Platzhaltervergleiche werden unterstützt:
*
für mehrere Zeichen,?
für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\
) versehen, um mit einem literalen*
oder?
übereinzustimmen.(network_event.file_type: ?xecutable)
malware
Entspricht mindestens einem
av_family
- oderlastline_malware
-Analyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.(network_event.malware: emotet)
malware_activity
Entspricht mindestens einem Aktivitätsanalyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.
(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)
- SONSTIGE
-
Name eines sonstigen Attributs Beschreibung custom_tag
Entspricht einem benutzerdefinierten Tag, das Ereignissen zugewiesen ist. Der Zeichenfolgenwert muss exakt übereinstimmen.
(network_event.custom_tag: tagged_event)
Unterstützte Aktionen
Aktionsname | Beschreibung |
---|---|
demote |
Stuft das Ergebnis des übereinstimmenden Ereignisses in einen anderen Modus herab. Unterstützte Ziele: Zulässige Werte: „INFO“ oder „TEST“. |
impact |
Legen Sie eine Unter- oder Obergrenze für die Auswirkungen eines Ereignisses fest. Unterstützte Ziele:
Zulässige Werte: eine Ganzzahl zwischen 1 und 100. |
suppress |
Unterdrückt alle Bedrohungen für das übereinstimmende Ereignis. Dies führt dazu, dass es als falsch positiv mit einer Auswirkung von null (0) bewertet wird, wodurch das Ereignis effektiv gelöscht wird. Unterstützte Ziele: Zulässige Werte: keine. |
tag |
Weisen Sie dem übereinstimmenden Ereignis ein benutzerdefiniertes Tag zu. Unterstützte Ziele: Zulässige Werte: eine gültige Zeichenfolge. |