경고 규칙 구문을 사용하여 이벤트가 필터와 일치할 때 NSX Network Detection and Response에서 수행해야 하는 작업을 정의합니다.

경고 규칙은 일치 식 및 작업의 두 부분으로 구성됩니다.

일치 식

개체의 특성에 대한 조건을 나타내는 절의 조합입니다.

일치 식의 형식은 object_type . attribute_type: [relation]value입니다.

일치 식은 다음 네 부분으로 구성됩니다.
파트 이름 설명
object_type 일치시킬 개체 유형입니다. 다음 보고서 유형이 지원됩니다.
  • network_event

개체 유형과 해당 특성은 점(.)으로 구분됩니다.
attribute_type

일치시킬 특성입니다(특성 항목 참조).

object_type.attribute_type은 [relation] 및 값과 콜론(:)으로 구분됩니다.
[relation]

개체 및 해당 특성과 일치시킬 값 간의 관계입니다. 관계를 지정하지 않으면 같음이 기본값입니다. 지원되는 관계 유형은 다음과 같습니다.

  • 같음(:)

  • 보다 크거나 같음(>, >=)

  • 보다 작거나 같음(<, <=)
수신 이벤트의 object_type.attribute_type과 일치시킬 값입니다.

여러 개의 일치 식은 AND, ORNOT 논리 연산자로 구분됩니다.

작업

개체에 대해 수행할 하나 이상의 수정 작업입니다.

작업은 action : target = value 형식을 갖습니다.

작업은 다음 세 파트로 구성됩니다.
파트 이름 설명
action 수행할 작업입니다(지원되는 작업 참조). 작업과 해당 대상은 콜론(:)으로 구분됩니다.
target 지원되는 대상입니다.
value 대상에 적용할 선택적 값입니다.

여러 작업은 쉼표(,)로 구분되며 정의된 순서와 동일한 순서로 적용됩니다.

특성 항목

다음 목록에서는 새 필터를 생성하거나 업데이트할 때 사용할 수 있는 다양한 특성 항목에 대해 설명합니다. 특성은 다음 다섯 가지 범주로 그룹화됩니다.
소스
소스 특성 설명
client_ip

IP 주소 또는 IP 주소 범위와 일치시킵니다. 주소 값은 정확히 일치해야 합니다.

(network_event.client_ip: 142.42.1.6/24)
other_host_hostname

이벤트와 연결된 다른 호스트의 호스트 이름과 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

(network_event.other_host_hostname: host.example.com)
other_host_in_homenet

true이면 이벤트와 연결된 다른 호스트의 IP 주소가 홈 네트워크에 있는 경우 일치합니다. 부울 값이 필요합니다.

(network_event.other_host_in_homenet: false)
other_host_ip

IP 주소 또는 IP 주소 범위와 일치시킵니다. 주소 값은 정확히 일치해야 합니다.

(network_event.other_host_ip: 10.10.4.2)
other_host_tag

호스트 태그와 일치시킵니다. 기존 호스트 태그를 선택합니다.

(network_event.other_host_tag: tag)
relevant_host_in_homenet

true이면 이벤트와 연결된 관련 호스트의 IP 주소가 홈 네트워크에 있는 경우 일치합니다. 부울 값이 필요합니다.

(network_event.relevant_host_in_homenet: true)
relevant_host_ip

IP 주소 또는 IP 주소 범위와 일치시킵니다. 주소 값은 정확히 일치해야 합니다.

(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag

호스트 태그와 일치시킵니다. 기존 호스트 태그를 선택합니다.

(network_event.relevant_host_tag: tag)
relevant_host_whitelisted

무시된 소스 IP 주소와 일치시킵니다. 부울 값이 필요합니다.

(network_event.relevant_host_whitelisted: true)
server_ip

IP 주소 또는 IP 주소 범위와 일치시킵니다. 주소 값은 정확히 일치해야 합니다.

(network_event.server_ip: 12.6.6.6)
server_port

포트 번호와 일치시킵니다. 정수 비교인 equality, inequality, greater-than, less-than 등이 수행됩니다.

(network_event.server_port: 7777)
transport_protocol

"TCP" 또는 "UDP"와 일치시킵니다.

(network_event.transport_protocol: UDP)

URL
URL 특성 설명
full_url

이벤트에 있는 하나 이상의 URL과 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

예를 들어 쿼리 문자열 문자 ?를 이스케이프(\?)해야 합니다.

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url

이벤트에서 하나 이상의 정규화된 URL(쿼리 문자열이 없는 URL)과 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path 이벤트에 있는 하나 이상의 URL 리소스 경로와 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

DETECTION
감지 특성 설명
custom_ids_rule_id

IDS 규칙의 ID와 일치시킵니다. 숫자 값은 정확히 일치해야 합니다.

(network_event.custom_ids_rule_id: 987654321)
detector

이벤트를 감지한 모듈의 이름/고유 식별자와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.detector: llrules:1532130206460)
event_outcome

"DETECTION" 또는 "INFO"와 일치시킵니다.

(network_event.event_outcome: DETECTION)
event_type

"BINARYDOWNLOAD", "DNS", "DNSANOMALY", "DYNAMICIP", "HTTPANOMALY", "IDS", "IP", "LLANTARULE", "NETFLOW", "NETFLOWANOMALY", "NETWORK", "TLSANOMALY" 또는 "URL" 중 하나와 일치시킵니다.

(network_event.event_type: IDS)
llanta_rule_uuid

시스템 규칙의 UUID와 일치시킵니다. 숫자 값은 정확히 일치해야 합니다.

(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation

"BLOCK", "INFO", "LOG" 또는 "TEST" 중 하나와 일치시킵니다.

(network_event.operation: BLOCK)
threat

위협을 정의하는 유효한 문자열과 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

(network_event.threat: Torn RAT)
threat_class

위협 클래스와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.threat_class: Malicious File Execution)

FILE
파일 특성 설명
av_class

하나 이상의 av_class 분석 태그와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.av_class: exploit)
file_category

지원되는 파일 범주 중 하나와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.file_category: Java)
file_md5

유효한 MD5 합계와 일치시킵니다.

(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1

유효한 SHA1 합계와 일치시킵니다.

(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size

파일 크기(바이트)와 일치시킵니다. 유효한 정수여야 합니다. 정수 비교인 equality, inequality, greater-than, less-than 등이 수행됩니다.

(network_event.file_size: > 1042249837)
file_type

파일 유형을 정의하는 유효한 문자열과 일치시킵니다. 와일드카드 비교가 지원됩니다. 여러 문자의 경우 *, 단일 문자의 경우 ?를 사용합니다. 리터럴 * 또는 ?와 일치시키려면 와일드카드 문자를 이스케이프(\)해야 합니다.

(network_event.file_type: ?xecutable)
malware

하나 이상의 av_family 또는 lastline_malware 분석 태그와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.malware: emotet)
malware_activity

하나 이상의 활동 분석 태그와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)

기타
기타 특성 이름 설명
custom_tag

이벤트에 할당된 사용자 정의 태그와 일치시킵니다. 문자열 값은 정확히 일치해야 합니다.

(network_event.custom_tag: tagged_event)

지원되는 작업

다음은 규칙을 정의할 때 사용할 수 있는 작업입니다.
작업 이름 설명
demote 일치하는 이벤트의 결과를 다른 모드로 강등합니다.

지원되는 대상: outcome.

허용되는 값: "INFO" 또는 "TEST".
impact 이벤트의 영향에 대한 하한 또는 상한을 설정합니다.

지원되는 대상:

  • impact: 하한 및 상한을 동일한 값으로 설정합니다.

  • max_impact: impact에 대한 상한을 설정합니다. 값보다 작거나 같습니다.

  • min_impact: impact에 대한 하한을 설정합니다. 값보다 크거나 같습니다.

허용되는 값: 1-100의 정수
suppress 일치하는 이벤트에 대한 모든 위협을 표시하지 않습니다. 이로 인해 결과적으로 이벤트를 삭제하게 되는 영향력 0의 가양성으로 점수가 지정됩니다.

지원되는 대상: network_event.

허용되는 값: 없음
tag 일치하는 이벤트에 사용자 정의 태그를 할당합니다.

지원되는 대상: network_event.

허용되는 값: 올바른 문자열