Utilice la sintaxis de la regla de alerta para definir las acciones que debe realizar NSX Network Detection and Response cuando los eventos coinciden con un filtro.

Una regla de alerta consta de dos partes: Expresión coincidente y Acciones.

Expresión coincidente

Una combinación de cláusulas que expresan una condición en los atributos de un objeto.

Una expresión coincidente tiene el siguiente formato: object_type . attribute_type: [relation]value

La expresión coincidente consta de las cuatro partes siguientes.
Nombre de la parte Descripción
object_type El tipo de objeto que debe coincidir. Se admite el siguiente tipo de registro:
  • network_event

El tipo de objeto y su atributo están separados por un punto (.).
attribute_type

El atributo que debe coincidir (consulte Entradas de atributos).

object_type.attribute_type se separa de [relation] y el valor con dos puntos (:).
[relation]

La relación entre el objeto y su atributo y el valor para el que debe coincidir. Si no se especifica ninguna relación, la igualdad será la predeterminada. Los tipos de relación admitidos son:

  • Igualdad (:)

  • Mayor o igual que (>, >=)

  • Menor o igual que (<, <=)
value El valor que debe coincidir con object_type.attribute_type de los eventos entrantes.

Las expresiones coincidentes múltiples se separan por los operadores lógicos AND, OR y NOT.

Acciones

Una o varias modificaciones que se realizarán en el objeto.

Una acción tiene el siguiente formato: action : target = value

La acción consta de tres partes:
Nombre de la parte Descripción
action La acción que se realizará (consulte Acciones admitidas). La acción y su target se separan con dos puntos (:).
target El destino admitido.
value El valor opcional que se aplica al destino.

Las acciones múltiples están separadas por una coma (,) y se aplican en el mismo orden en que fueron definidas.

Entradas de atributos

En la siguiente lista se describen las diferentes entradas de atributos que puede utilizar al crear o actualizar nuevos filtros. Los atributos se agrupan en las siguientes cinco categorías.
ORIGEN
Atributo de origen Descripción
client_ip

Coincide con una dirección IP o un rango de direcciones IP. El valor de la dirección debe ser una coincidencia exacta.

(network_event.client_ip: 142.42.1.6/24)
other_host_hostname

Coincide con el nombre de host del otro host asociado al evento. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

(network_event.other_host_hostname: host.example.com)
other_host_in_homenet

Si es true, coincide si la dirección IP del otro host asociado con el evento se encuentra en la red de inicio. Espera un valor booleano.

(network_event.other_host_in_homenet: false)
other_host_ip

Coincide con una dirección IP o un rango de direcciones IP. El valor de la dirección debe ser una coincidencia exacta.

(network_event.other_host_ip: 10.10.4.2)
other_host_tag

Coincide con una etiqueta de host. Seleccione una etiqueta de host existente.

(network_event.other_host_tag: tag)
relevant_host_in_homenet

Si es true, coincide si la dirección IP del host relevante asociado con el evento se encuentra en la red de inicio. Espera un valor booleano.

(network_event.relevant_host_in_homenet: true)
relevant_host_ip

Coincide con una dirección IP o un rango de direcciones IP. El valor de la dirección debe ser una coincidencia exacta.

(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag

Coincide con una etiqueta de host. Seleccione una etiqueta de host existente.

(network_event.relevant_host_tag: tag)
relevant_host_whitelisted

Coincide con la dirección IP de origen silenciada. Espera un valor booleano.

(network_event.relevant_host_whitelisted: true)
server_ip

Coincide con una dirección IP o un rango de direcciones IP. El valor de la dirección debe ser una coincidencia exacta.

(network_event.server_ip: 12.6.6.6)
server_port

Coincide con un número de puerto. Se realizan comparaciones de enteros: equality, inequality, greater-than, less-than, etc.

(network_event.server_port: 7777)
transport_protocol

Coincide con "TCP" o "UDP".

(network_event.transport_protocol: UDP)

Dirección URL
Atributo de URL Descripción
full_url

Coincide con al menos una URL en el evento. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

Por ejemplo, el carácter de cadena de consulta ? debe tener carácter de escape (\?):

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url

Coincide con al menos una URL normalizada (una URL sin la cadena de consulta) en el evento. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path Coincide con al menos una ruta de recurso de URL en el evento. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

DETECTION
Atributo de detección Descripción
custom_ids_rule_id

Coincide con un identificador de una regla de IDS. El valor numérico debe ser una coincidencia exacta.

(network_event.custom_ids_rule_id: 987654321)
detector

Coincide con el nombre o el identificador único del módulo que detectó el evento. El valor de la cadena debe ser una coincidencia exacta.

(network_event.detector: llrules:1532130206460)
event_outcome

Coincide con "DETECTION" o "INFO".

(network_event.event_outcome: DETECTION)
event_type

Coincide con uno de los siguientes elementos: "BINARYDOWNLOAD", "DNS", "DNSANOMALY", "DYNAMICIP", "HTTPANOMALY", "IDS", "IP", "LLANTARULE", "NETFLOW", "NETFLOWANOMALY", "NETWORK", "TLSANOMALY" o "URL".

(network_event.event_type: IDS)
llanta_rule_uuid

Coincide con el UUID de una regla del sistema. El valor numérico debe ser una coincidencia exacta.

(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation

Coincide con una de las opciones "BLOCK", "INFO", "LOG" o "TEST".

(network_event.operation: BLOCK)
threat

Coincide con una cadena válida que define una amenaza. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

(network_event.threat: Torn RAT)
threat_class

Coincide con una clase de amenaza. El valor de la cadena debe ser una coincidencia exacta.

(network_event.threat_class: Malicious File Execution)

FILE
Atributo de archivo Descripción
av_class

Coincide con al menos una etiqueta de análisis av_class. El valor de la cadena debe ser una coincidencia exacta.

(network_event.av_class: exploit)
file_category

Coincide con una de las categorías compatibles de archivos. El valor de la cadena debe ser una coincidencia exacta.

(network_event.file_category: Java)
file_md5

Coincide con una suma MD5 válida.

(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1

Coincide con una suma de SHA1 válida.

(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size

Coincide con un tamaño de archivo en bytes. Debe ser un entero válido. Se realizan comparaciones de enteros: equality, inequality, greater-than, less-than, etc.

(network_event.file_size: > 1042249837)
file_type

Coincide con una cadena válida que define un tipo de archivo. Se admiten comparaciones con comodines: * para caracteres múltiples, ? para caracteres simples. Debe aplicar escape (\) a los caracteres comodín para que coincidan con un * o un ? literal.

(network_event.file_type: ?xecutable)
malware

Coincide con al menos una etiqueta de análisis av_family o lastline_malware. El valor de la cadena debe ser una coincidencia exacta.

(network_event.malware: emotet)
malware_activity

Coincide con al menos una etiqueta de análisis de actividad. El valor de la cadena debe ser una coincidencia exacta.

(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)

OTRO
Nombre de otro atributo Descripción
custom_tag

Coincide con una etiqueta definida por el usuario asignada a eventos. El valor de la cadena debe ser una coincidencia exacta.

(network_event.custom_tag: tagged_event)

Acciones admitidas

Las siguientes son las acciones que puede utilizar al definir reglas.
Nombre de acción Descripción
demote Degrada el resultado del evento coincidente a un modo diferente.

Destinos admitidos: outcome.

Valores permitidos: "INFO" o "TEST".
impact Establezca un límite inferior o superior sobre el impacto de un evento.

Destinos admitidos:

  • impact: establece el límite inferior y superior en el mismo valor.

  • max_impact: establece el límite superior en impact. Menor o igual al valor.

  • min_impact: establece el límite inferior en impact. Mayor o igual que el valor.

Valores permitidos: un número entero entre 1 y 100.
suppress Suprime todas las amenazas en el evento coincidente. Esto hace que se puntúe como un falso positivo con un impacto de cero (0), lo que elimina el evento de forma efectiva.

Destinos admitidos: network_event.

Valores permitidos: ninguno.
tag Asigne una etiqueta definida por el usuario al evento coincidente.

Destinos admitidos: network_event.

Valores permitidos: una cadena válida.