アラート ルールの構文を使用して、イベントがフィルタに一致したときに NSX Network Detection and Response が実行する必要があるアクションを定義します。

アラート ルールは、照合式とアクションの 2 つの部分で構成されます。

照合式

オブジェクトの属性の条件を表す句の組み合わせ。

照合式の形式:object_type . attribute_type: [relation]value

照合式は、次の 4 つの部分で構成されます。
パーツ名 説明
object_type 照合するオブジェクト タイプ。次のレコード タイプがサポートされています。
  • network_event

オブジェクト タイプとその属性は、ドット (.) で区切られます。
attribute_type

照合する属性(属性エントリを参照)。

object_type.attribute_type は、コロン (:) で [relation] および値と区切られます。
[relation]

照合するオブジェクトとその属性および値の関係。関係が指定されていない場合、等式がデフォルトになります。サポートされている関係タイプは次のとおりです。

  • 等しい (:)

  • 以上(>>=

  • 以下(<<=
受信イベントの object_type.attribute_type と照合する値。

複数の照合式は論理演算子 ANDOR、および NOT で区切られます。

アクション

オブジェクトに対して実行される 1 つ以上の変更。

アクションの形式:action : target = value

アクションは、次の 3 つの部分で構成されます。
パーツ名 説明
アクション 実行するアクション(サポートされているアクションを参照)。アクションとそのターゲットはコロン (:) で区切られます。
ターゲット サポートされているターゲット。
ターゲットに適用するオプションの値。

複数のアクションはカンマ (,) で区切られ、定義した順序で適用されます。

属性エントリ

次のリストでは、新しいフィルタを作成または更新するときに使用できるさまざまな属性エントリについて説明します。属性は、次の 5 つのカテゴリにグループ化されます。
送信元
送信元属性 説明
client_ip

IP アドレスまたは IP アドレス範囲を照合します。アドレスの値は完全に一致する必要があります。

(network_event.client_ip: 142.42.1.6/24)
other_host_hostname

イベントに関連付けられている他のホストのホスト名と照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

(network_event.other_host_hostname: host.example.com)
other_host_in_homenet

true の場合、イベントに関連付けられている他のホストの IP アドレスがホーム ネットワークにある場合に一致します。ブール値が必要です。

(network_event.other_host_in_homenet: false)
other_host_ip

IP アドレスまたは IP アドレス範囲を照合します。アドレスの値は完全に一致する必要があります。

(network_event.other_host_ip: 10.10.4.2)
other_host_tag

ホスト タグを照合します。既存のホスト タグを選択します。

(network_event.other_host_tag: tag)
relevant_host_in_homenet

true の場合、イベントに関連付けられている関連ホストの IP アドレスがホーム ネットワークにある場合に一致します。ブール値が必要です。

(network_event.relevant_host_in_homenet: true)
relevant_host_ip

IP アドレスまたは IP アドレス範囲を照合します。アドレスの値は完全に一致する必要があります。

(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag

ホスト タグを照合します。既存のホスト タグを選択します。

(network_event.relevant_host_tag: tag)
relevant_host_whitelisted

無効化されている送信元 IP アドレスを照合します。ブール値が必要です。

(network_event.relevant_host_whitelisted: true)
server_ip

IP アドレスまたは IP アドレス範囲を照合します。アドレスの値は完全に一致する必要があります。

(network_event.server_ip: 12.6.6.6)
server_port

ポート番号を照合します。整数の比較が実行されます(等式、不等式、大なり、小なりなど)。

(network_event.server_port: 7777)
transport_protocol

「TCP」または「UDP」のいずれかを照合します。

(network_event.transport_protocol: UDP)

URL
URL 属性 説明
full_url

イベント内の 1 つ以上の URL を照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

たとえば、クエリ文字列の文字 ? はエスケープする必要があります (\?)。

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url

イベント内の少なくとも 1 つの正規化された URL(クエリ文字列のない URL)を照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path イベント内の少なくとも 1 つの URL リソース パスを照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

検出
検出属性 説明
custom_ids_rule_id

IDS ルールの ID を照合します。数値は完全に一致する必要があります。

(network_event.custom_ids_rule_id: 987654321)
detector

イベントを検出したモジュールの名前/一意の ID を照合します。文字列の値は完全に一致する必要があります。

(network_event.detector: llrules:1532130206460)
event_outcome

「DETECTION」または「INFO」のいずれかを照合します。

(network_event.event_outcome: DETECTION)
event_type

「BINARYDOWNLOAD」、「DNS」、「DNSANOMALY」、「DYNAMICIP」、「HTTPANOMALY」、「IDS」、「IP」、「LLANTARULE」、「NETFLOW」、「NETFLOWANOMALY」、「NETWORK」、「TLSANOMALY」、または「URL」のいずれかを照合します。

(network_event.event_type: IDS)
llanta_rule_uuid

システム ルールの UUID を照合します。数値は完全に一致する必要があります。

(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation

「BLOCK」、「INFO」、「LOG」、「TEST」のいずれかを照合します。

(network_event.operation: BLOCK)
threat

脅威を定義する有効な文字列を照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

(network_event.threat: Torn RAT)
threat_class

脅威クラスを照合します。文字列の値は完全に一致する必要があります。

(network_event.threat_class: Malicious File Execution)

ファイル
ファイル属性 説明
av_class

1 つ以上の av_class 分析タグを照合します。文字列の値は完全に一致する必要があります。

(network_event.av_class: exploit)
file_category

サポートされているファイルのカテゴリのいずれかを照合します。文字列の値は完全に一致する必要があります。

(network_event.file_category: Java)
file_md5

有効な MD5 サムを照合します。

(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1

有効な SHA1 サムを照合します。

(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size

ファイル サイズ(バイト単位)を照合します。有効な整数を指定する必要があります。整数の比較が実行されます(等式、不等式、大なり、小なりなど)。

(network_event.file_size: > 1042249837)
file_type

ファイル タイプを定義する有効な文字列を照合します。複数文字に *、1 つの文字に ? など、ワイルドカードの比較に対応しています。文字 * または ? を照合するには、ワイルドカード文字をエスケープ (\) する必要があります。

(network_event.file_type: ?xecutable)
malware

1 つ以上の av_family または lastline_malware 分析タグを照合します。文字列の値は完全に一致する必要があります。

(network_event.malware: emotet)
malware_activity

1 つ以上のアクティビティ分析タグを照合します。文字列の値は完全に一致する必要があります。

(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)

その他
その他の属性名 説明
custom_tag

イベントに割り当てられたユーザー定義のタグを照合します。文字列の値は完全に一致する必要があります。

(network_event.custom_tag: tagged_event)

サポートされているアクション

ルールを定義するときに使用できるアクションは次のとおりです。
アクション名 説明
demote 照合するイベントの結果を別のモードに降格します。

サポートされているターゲット:outcome

使用可能な値:「INFO」または「TEST」。
impact イベントの影響に下限または上限を設定します。

サポートされているターゲット:

  • impact:下限と上限を同じ値に設定します。

  • max_impactimpact の上限を設定します。この値以下になります。

  • min_impactimpact の下限を設定します。この値以上になります。

使用可能な値:1 ~ 100 の整数。
suppress 照合イベントのすべての脅威を抑止します。これにより、影響がゼロ (0) の誤検知としてスコアが付けられ、イベントが事実上削除されます。

サポートされているターゲット:network_event

使用できる値:なし。
tag 照合イベントにユーザー定義のタグを割り当てます。

サポートされているターゲット:network_event

使用できる値:有効な文字列。