Sie verwenden die Syntax für Warnungsregeln, um die Aktionen zu definieren, die NSX Network Detection and Response durchführen müssen, wenn Ereignisse einem Filter entsprechen.

Eine Warnungsregel besteht aus zwei Teilen: übereinstimmender Ausdruck und Aktionen.

Übereinstimmender Ausdruck

Eine Kombination aus Klauseln, die eine Bedingung für die Attribute eines Objekts ausdrücken.

Ein übereinstimmender Ausdruck hat das folgende Format: object_type . attribute_type: [relation]value

Der übereinstimmende Ausdruck besteht aus den folgenden vier Teilen.
Teilename Beschreibung
object_type Der Objekttyp, der abgeglichen werden soll. Der folgende Datensatztyp wird unterstützt:
  • network_event

Der Objekttyp und sein Attribut sind durch einen Punkt (.) getrennt.
attribute_type

Das Attribut, das abgeglichen werden soll (siehe Attributeinträge).

Der object_type.attribute_type wird durch einen Doppelpunkt (:) von [relation] und value getrennt.
[relation]

Die Beziehung zwischen dem Objekt und seinem Attribut sowie der Wert, auf den abgeglichen werden soll. Wenn keine Beziehung angegeben ist, ist „Gleichheit“ die Standardeinstellung. Unterstützte Beziehungstypen sind folgende:

  • Gleichheit (:)

  • Größer als oder gleich (>, >=)

  • Kleiner als oder gleich (<, <=)
Wert Der Wert, der mit dem object_type.attribute_type der eingehenden Ereignisse abgeglichen werden soll.

Mehrere übereinstimmende Ausdrücke werden durch die logischen Operatoren AND, OR und NOT getrennt.

Aktionen

Eine oder mehrere Änderungen, die für das Objekt durchgeführt werden müssen.

Eine Aktion hat das folgende Format: action : target = value

Die Aktion besteht aus drei Teilen:
Teilename Beschreibung
Aktion Die auszuführende Aktion (siehe Unterstützte Aktionen). Die Aktion und ihr Ziel werden durch einen Doppelpunkt (:) getrennt.
Ziel Das unterstützte Ziel.
Wert Der optionale Wert, der auf das Ziel angewendet werden soll.

Mehrere Aktionen werden durch ein Komma (,) getrennt und in derselben Reihenfolge angewendet, in der sie definiert wurden.

Attributeinträge

In der folgenden Liste werden die verschiedenen Attributeinträge beschrieben, die Sie beim Erstellen oder Aktualisieren neuer Filter verwenden können. Die Attribute werden in die folgenden fünf Kategorien unterteilt.
QUELLE
Attribut „Quelle“ Beschreibung
client_ip

Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.

(network_event.client_ip: 142.42.1.6/24)
other_host_hostname

Entspricht dem Hostnamen des anderen Hosts, der dem Ereignis zugeordnet ist. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

(network_event.other_host_hostname: host.example.com)
other_host_in_homenet

Bei „true“ wird eine Übereinstimmung erzielt, wenn sich die IP-Adresse des anderen mit dem Ereignis verbundenen Hosts im Home-Netzwerk befindet. Erwartet einen booleschen Wert.

(network_event.other_host_in_homenet: false)
other_host_ip

Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.

(network_event.other_host_ip: 10.10.4.2)
other_host_tag

Entspricht einem Host-Tag. Wählen Sie ein vorhandenes Host-Tag aus.

(network_event.other_host_tag: tag)
relevant_host_in_homenet

Bei „true“ wird eine Übereinstimmung erzielt, wenn sich die IP-Adresse des entsprechenden mit dem Ereignis verbundenen Hosts im Home-Netzwerk befindet. Erwartet einen booleschen Wert.

(network_event.relevant_host_in_homenet: true)
relevant_host_ip

Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.

(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag

Entspricht einem Host-Tag. Wählen Sie ein vorhandenes Host-Tag aus.

(network_event.relevant_host_tag: tag)
relevant_host_whitelisted

Entspricht einer stillgelegten Quell-IP-Adresse. Erwartet einen booleschen Wert.

(network_event.relevant_host_whitelisted: true)
server_ip

Entspricht einer IP-Adresse oder einem IP-Adressbereich. Der Adresswert muss exakt übereinstimmen.

(network_event.server_ip: 12.6.6.6)
server_port

Entspricht einer Portnummer. Es werden ganzzahlige Vergleiche durchgeführt: Gleichheit, Ungleichheit, größer-als, kleiner-als, usw.

(network_event.server_port: 7777)
transport_protocol

Entspricht entweder „TCP“ oder „UDP“.

(network_event.transport_protocol: UDP)

URL
Attribut „URL“ Beschreibung
full_url

Entspricht mindestens einer URL im Ereignis. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

Beispiel: Das Zeichen für die Abfragezeichenfolge ? muss mit einem Escape-Zeichen (\?) versehen werden:

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url

Entspricht mindestens einer normalisierten URL (einer URL ohne Abfragezeichenfolge) im Ereignis. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path Entspricht mindestens einem URL-Ressourcenpfad im Ereignis. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

ERKENNUNG
Attribut „Erkennung“ Beschreibung
custom_ids_rule_id

Entspricht einer ID für eine IDS-Regel. Der numerische Wert muss exakt übereinstimmen.

(network_event.custom_ids_rule_id: 987654321)
detector

Entspricht dem Namen/eindeutigen Bezeichner des Moduls, das das Ereignis erkannt hat. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.detector: llrules:1532130206460)
event_outcome

Entspricht entweder „ERKENNUNG“ oder „INFO“.

(network_event.event_outcome: DETECTION)
event_type

Entspricht einem der Folgenden: „BINARYDOWNLOAD“, „DNS“, „DNSANOMALY“, „DYNAMICIP“, „HTTPANOMALY“, „IDS“, „IP“, „LLANTARULE“, „NETFLOW“, „NETFLOWANOMALY“, „NETWORK“, „TLSANOMALY“ oder „URL“.

(network_event.event_type: IDS)
llanta_rule_uuid

Entspricht der UUID einer Systemregel. Der numerische Wert muss exakt übereinstimmen.

(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation

Entspricht einem der Folgenden: „BLOCK“, „INFO“, „LOG“ oder „TEST“.

(network_event.operation: BLOCK)
threat

Entspricht einer gültigen Zeichenfolge, die eine Bedrohung definiert. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

(network_event.threat: Torn RAT)
threat_class

Entspricht einer Bedrohungsklasse. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.threat_class: Malicious File Execution)

DATEI
Dateiattribut Beschreibung
av_class

Entspricht mindestens einem av_class-Analyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.av_class: exploit)
file_category

Entspricht einer der unterstützten Dateikategorien. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.file_category: Java)
file_md5

Entspricht einer gültigen MD5-Summe.

(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1

Entspricht einer gültigen SHA 1-Summe.

(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size

Entspricht einer Dateigröße in Byte. Es muss eine gültige Ganzzahl sein. Es werden ganzzahlige Vergleiche durchgeführt: Gleichheit, Ungleichheit, größer-als, kleiner-als, usw.

(network_event.file_size: > 1042249837)
file_type

Entspricht einer gültigen Zeichenfolge, die einen Dateityp definiert. Platzhaltervergleiche werden unterstützt: * für mehrere Zeichen, ? für einzelne Zeichen. Sie müssen die Platzhalterzeichen mit einem Escape-Zeichen (\) versehen, um mit einem literalen * oder ? übereinzustimmen.

(network_event.file_type: ?xecutable)
malware

Entspricht mindestens einem av_family- oder lastline_malware-Analyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.malware: emotet)
malware_activity

Entspricht mindestens einem Aktivitätsanalyse-Tag. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)

SONSTIGE
Name eines sonstigen Attributs Beschreibung
custom_tag

Entspricht einem benutzerdefinierten Tag, das Ereignissen zugewiesen ist. Der Zeichenfolgenwert muss exakt übereinstimmen.

(network_event.custom_tag: tagged_event)

Unterstützte Aktionen

Im Folgenden finden Sie die Aktionen, die Sie beim Definieren von Regeln verwenden können.
Aktionsname Beschreibung
demote Stuft das Ergebnis des übereinstimmenden Ereignisses in einen anderen Modus herab.

Unterstützte Ziele: outcome.

Zulässige Werte: „INFO“ oder „TEST“.
impact Legen Sie eine Unter- oder Obergrenze für die Auswirkungen eines Ereignisses fest.

Unterstützte Ziele:

  • impact: Legt den unteren und den oberen Grenzwert auf denselben Wert fest.

  • max_impact: Legt die Obergrenze für impact fest. Kleiner oder gleich Wert.

  • min_impact: Legt die untere Grenze für impact fest. Größer oder gleich dem Wert.

Zulässige Werte: eine Ganzzahl zwischen 1 und 100.
suppress Unterdrückt alle Bedrohungen für das übereinstimmende Ereignis. Dies führt dazu, dass es als falsch positiv mit einer Auswirkung von null (0) bewertet wird, wodurch das Ereignis effektiv gelöscht wird.

Unterstützte Ziele: network_event.

Zulässige Werte: keine.
tag Weisen Sie dem übereinstimmenden Ereignis ein benutzerdefiniertes Tag zu.

Unterstützte Ziele: network_event.

Zulässige Werte: eine gültige Zeichenfolge.