Syntaxe de la règle d’alerte

Vous utilisez la syntaxe de la règle d'alerte pour définir les actions que NSX Network Detection and Response doit effectuer lorsque les événements correspondent à un filtre.

Une règle d'alerte se compose de deux parties : l'expression et les actions correspondantes.

Expression correspondante

Combinaison de clauses qui expriment une condition sur les attributs d’un objet.

Une expression correspondante a le format suivant : object_type . attribute_type: [relation]value

L’expression correspondante se compose des quatre parties suivantes.

Nom de partie	Description
object_type	Type d’objet à mettre en correspondance. Le type d’enregistrement suivant est pris en charge : network_event Le type d'objet et son attribut sont séparés par un point (`.`).
attribute_type	Attribut à mettre en correspondance (voir Entrées d’attribut). object_type.attribute_type est séparé de la [relation] et de la valeur par deux-points (`:`).
[relation]	La relation entre l'objet et son attribut et la valeur à faire correspondre. Si aucune relation n'est spécifiée, l'égalité est la valeur par défaut. Les types de relation pris en charge sont les suivants : Égalité (`:`) Supérieur ou égal à (`>`, `>=`) Inférieur ou égal à (`<`, `<=`)
valeur	Valeur à faire correspondre au object_type.attribute_type des événements entrants.

Plusieurs expressions correspondantes sont séparées par les opérateurs logiques AND, OR et NOT.

Actions

Une ou plusieurs modifications à effectuer sur l’objet.

Chaque message présente le format suivant : action : target = value

L’action se compose de trois parties :

Nom de partie	Description
action	Action à effectuer (voir Actions prises en charge). L'action et sa cible sont séparées par deux-points (`:`).
cible	La cible prise en charge.
valeur	Valeur facultative à appliquer à la cible.

Plusieurs actions sont séparées par une virgule (,) et sont appliquées dans le même ordre que celui dans lequel elles ont été définies.

Entrées d’attribut

La liste suivante décrit les différentes entrées d’attribut que vous pouvez utiliser lors de la création ou de la mise à jour de nouveaux filtres. Les attributs sont regroupés dans les cinq catégories suivantes.

SOURCE

Attribut source	Description
`client_ip`	Correspond à une adresse IP ou à une plage d’adresses IP. La valeur de l’adresse doit être une correspondance exacte. `(network_event.client_ip: 142.42.1.6/24)`
`other_host_hostname`	Correspond au nom d’hôte de l’autre hôte associé à l’événement. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`. `(network_event.other_host_hostname: host.example.com)`
`other_host_in_homenet`	Si la valeur est true, correspond si l'adresse IP de l'autre hôte associé à l'événement se trouve sur le réseau de base. Attend une valeur booléenne. `(network_event.other_host_in_homenet: false)`
`other_host_ip`	Correspond à une adresse IP ou à une plage d’adresses IP. La valeur de l’adresse doit être une correspondance exacte. `(network_event.other_host_ip: 10.10.4.2)`
`other_host_tag`	Correspond à une balise hôte. Sélectionnez une balise hôte existante. `(network_event.other_host_tag: tag)`
`relevant_host_in_homenet`	Si la valeur est true, correspond si l'adresse IP de l'hôte approprié associé à l'événement se trouve dans le réseau domestique. Attend une valeur booléenne. `(network_event.relevant_host_in_homenet: true)`
`relevant_host_ip`	Correspond à une adresse IP ou à une plage d’adresses IP. La valeur de l’adresse doit être une correspondance exacte. `(network_event.relevant_host_ip: 42.6.7.0/16)`
`relevant_host_tag`	Correspond à une balise hôte. Sélectionnez une balise hôte existante. `(network_event.relevant_host_tag: tag)`
`relevant_host_whitelisted`	Correspond à l’adresse IP source silencieuse. Attend une valeur booléenne. `(network_event.relevant_host_whitelisted: true)`
`server_ip`	Correspond à une adresse IP ou à une plage d’adresses IP. La valeur de l’adresse doit être une correspondance exacte. `(network_event.server_ip: 12.6.6.6)`
`server_port`	Correspond à un numéro de port. Des comparaisons d'entiers sont effectuées : égalité, exécution, supérieur à, inférieur à, etc. `(network_event.server_port: 7777)`
`transport_protocol`	Correspond à « TCP » ou « UDP ». `(network_event.transport_protocol: UDP)`

URL

Attribut URL Description

Attribut URL	Description
`full_url`	Correspond à au moins une URL dans l’événement. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`. Par exemple, le caractère de chaîne de requête `?` doit être échappé (`\?`) : `(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)`
`normalized_url`	Correspond à au moins une URL normalisée (une URL sans la chaîne de requête) dans l’événement. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`. `(network_event.normalized_url: https://www.example.com/resource/path/)`
`resource_path`	Correspond à au moins un chemin de ressource d’URL dans l’événement. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`.

full_url

Correspond à au moins une URL dans l’événement. Les comparaisons de caractères génériques sont prises en charge : * pour plusieurs caractères, ? pour un seul caractère. Vous devez échapper (\) les caractères génériques pour qu'ils correspondent à un * ou à un ?.

Par exemple, le caractère de chaîne de requête ? doit être échappé (\?) :

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)

normalized_url

Correspond à au moins une URL normalisée (une URL sans la chaîne de requête) dans l’événement. Les comparaisons de caractères génériques sont prises en charge : * pour plusieurs caractères, ? pour un seul caractère. Vous devez échapper (\) les caractères génériques pour qu'ils correspondent à un * ou à un ?.

(network_event.normalized_url: https://www.example.com/resource/path/)

resource_path Correspond à au moins un chemin de ressource d’URL dans l’événement. Les comparaisons de caractères génériques sont prises en charge : * pour plusieurs caractères, ? pour un seul caractère. Vous devez échapper (\) les caractères génériques pour qu'ils correspondent à un * ou à un ?.

DÉTECTION

Attribut de détection	Description
`custom_ids_rule_id`	Correspond à un ID pour une règle IDS. La valeur numérique doit être une correspondance exacte. `(network_event.custom_ids_rule_id: 987654321)`
`detector`	Correspond au nom/identifiant unique du module qui a détecté l’événement. La valeur de chaîne doit être une correspondance exacte. `(network_event.detector: llrules:1532130206460)`
`event_outcome`	Correspond à « DÉTECTION » ou « INFO ». `(network_event.event_outcome: DETECTION)`
`event_type`	Correspond à l'un des éléments suivants : « BINARYDOWNLOAD », « DNS », « DNSANOMALY », « DYNAMICIP », « HTTPANOMALY », « IDS », « IP », « LLANTARULE », « NETFLOW », « NETFLOWANOMALY », « NETWORK », « TLSANOMALY » ou « URL ». `(network_event.event_type: IDS)`
`llanta_rule_uuid`	Correspond à l’UUID d’une règle système. La valeur numérique doit être une correspondance exacte. `(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)`
`operation`	Correspond à l'un des éléments « BLOCK », « INFO », « LOG » ou « TEST ». `(network_event.operation: BLOCK)`
`threat`	Correspond à une chaîne valide définissant une menace. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`. `(network_event.threat: Torn RAT)`
`threat_class`	Correspond à une classe de menace. La valeur de chaîne doit être une correspondance exacte. `(network_event.threat_class: Malicious File Execution)`

FICHIER

Attribut de fichier	Description
`av_class`	Correspond à au moins une balise d'analyse `av_class`. La valeur de chaîne doit être une correspondance exacte. `(network_event.av_class: exploit)`
`file_category`	Correspond à l'une des catégories de fichiers prises en charge. La valeur de chaîne doit être une correspondance exacte. `(network_event.file_category: Java)`
`file_md5`	Correspond à une somme MD5 valide. `(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)`
`file_sha1`	Correspond à une somme SHA1 valide. `(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)`
`file_size`	Correspond à une taille de fichier en octets. Doit être un entier valide. Des comparaisons d'entiers sont effectuées : égalité, exécution, supérieur à, inférieur à, etc. `(network_event.file_size: > 1042249837)`
`file_type`	Correspond à une chaîne valide définissant un type de fichier. Les comparaisons de caractères génériques sont prises en charge : `` pour plusieurs caractères, `?` pour un seul caractère. Vous devez échapper (`\`) les caractères génériques pour qu'ils correspondent à un `` ou à un `?`. `(network_event.file_type: ?xecutable)`
`malware`	Correspond à au moins une balise d'analyse `av_family` ou `lastline_malware`. La valeur de chaîne doit être une correspondance exacte. `(network_event.malware: emotet)`
`malware_activity`	Correspond à au moins une balise d’analyse d’activité. La valeur de chaîne doit être une correspondance exacte. `(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)`

AUTRE

Autre nom d’attribut	Description
`custom_tag`	Correspond à une balise définie par l’utilisateur attribuée à des événements. La valeur de chaîne doit être une correspondance exacte. `(network_event.custom_tag: tagged_event)`

Actions prises en charge

Voici les actions que vous pouvez utiliser lors de la définition de règles.

Nom de l'action	Description
`demote`	Rétrograde le résultat de l’événement correspondant sur un mode différent. Cibles prises en charge : `outcome`. Valeurs autorisées : « INFO » ou « TEST ».
`impact`	Définissez une limite inférieure ou supérieure sur l’impact d’un événement. Cibles prises en charge : `impact` : définit la limite inférieure et supérieure à la même valeur. `max_impact` : définit la limite supérieure sur `impact`. Inférieur ou égal à la valeur. `min_impact` : définit la limite inférieure sur `impact`. Supérieur ou égal à la valeur. Valeurs autorisées : entier compris entre 1 et 100.
`suppress`	Supprime toutes les menaces sur l’événement correspondant. Cela entraîne un score faux positif avec un impact de zéro (0), ce qui supprime effectivement l'événement. Cibles prises en charge : `network_event`. Valeurs autorisées : aucune.
`tag`	Attribuez une balise définie par l’utilisateur à l’événement correspondant. Cibles prises en charge : `network_event`. Valeurs autorisées : chaîne valide.