您可以使用警示規則語法,以定義在事件符合某個篩選器時 NSX Network Detection and Response 必須執行的動作。

警示規則由兩個部分組成:比對運算式和動作。

比對運算式

表達物件屬性上條件的子句組合。

比對運算式具有下列格式:object_type . attribute_type: [relation]value

比對運算式由下列四個部分組成。
部分名稱 說明
object_type 要比對的物件類型。支援下列記錄類型:
  • network_event

物件類型及其屬性會使用句點 (.) 分隔。

attribute_type

要比對的屬性 (請參閱屬性項目)。

object_type.attribute_type 會使用冒號 (:) 與 [relation] 和值分隔。

[relation]

物件與及其屬性和要比對的值之間的關係。如果未指定關係,則預設為相等。支援的關係類型包括:

  • 相等 (:)

  • 大於或等於 (>>=)

  • 小於或等於 (<<=)

要與傳入事件的 object_type.attribute_type 比對的值。

多個比對運算式會使用邏輯運算子 ANDORNOT 分隔。

動作

要在物件上執行的一或多個修改。

動作具有下列格式:action : target = value

動作由三個部分組成:
部分名稱 說明
動作 要執行的動作 (請參閱支援的動作)。動作及其目標會使用冒號 (:) 分隔。
目標 支援的目標。
要套用至目標的可選值。

多個動作會使用逗號 (,) 分隔,並依定義它們的相同順序套用。

屬性項目

下列清單描述在建立或更新新的篩選器時,您可以使用的不同屬性項目。屬性會群組為下列 5 個類別。
來源
來源屬性 說明
client_ip

比對 IP 位址或 IP 位址範圍。位址值必須完全相符。

(network_event.client_ip: 142.42.1.6/24)
other_host_hostname

比對與事件相關聯的其他主機的主機名稱。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

(network_event.other_host_hostname: host.example.com)
other_host_in_homenet

如果為 true,則比對與事件相關聯的其他主機的 IP 位址是否位於家用網路。預期為布林值。

(network_event.other_host_in_homenet: false)
other_host_ip

比對 IP 位址或 IP 位址範圍。位址值必須完全相符。

(network_event.other_host_ip: 10.10.4.2)
other_host_tag

比對主機標記。選取現有的主機標記。

(network_event.other_host_tag: tag)
relevant_host_in_homenet

如果為 true,則比對與事件相關聯的相關主機的 IP 位址是否位於家用網路。預期為布林值。

(network_event.relevant_host_in_homenet: true)
relevant_host_ip

比對 IP 位址或 IP 位址範圍。位址值必須完全相符。

(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag

比對主機標記。選取現有的主機標記。

(network_event.relevant_host_tag: tag)
relevant_host_whitelisted

比對靜音來源 IP 位址。預期為布林值。

(network_event.relevant_host_whitelisted: true)
server_ip

比對 IP 位址或 IP 位址範圍。位址值必須完全相符。

(network_event.server_ip: 12.6.6.6)
server_port

比對連接埠號碼。執行整數比較:相等、不相等、大於、小於等等。

(network_event.server_port: 7777)
transport_protocol

比對 "TCP" 或 "UDP"。

(network_event.transport_protocol: UDP)

URL
URL 屬性 說明
full_url

比對事件中的至少一個 URL。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

例如,必須逸出查詢字串字元 ? (\?):

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url

比對事件中的至少一個標準化 URL (不包含查詢字串的 URL)。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path 比對事件中的至少一個 URL 資源路徑。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

偵測
偵測屬性 說明
custom_ids_rule_id

比對 IDS 規則的識別碼。數值必須完全相符。

(network_event.custom_ids_rule_id: 987654321)
detector

比對偵測到事件的模組的名稱/唯一識別碼。字串值必須完全相符。

(network_event.detector: llrules:1532130206460)
event_outcome

比對 "DETECTION" 或 "INFO"。

(network_event.event_outcome: DETECTION)
event_type

比對 "BINARYDOWNLOAD"、"DNS"、"DNSANOMALY"、"DYNAMICIP"、"HTTPANOMALY"、"IDS"、"IP"、"LLANTARULE"、"NETFLOW"、"NETFLOWANOMALY"、"NETWORK"、"TLSANOMALY" 或 "URL" 中的一個。

(network_event.event_type: IDS)
llanta_rule_uuid

比對系統規則的 UUID。數值必須完全相符。

(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation

比對 "BLOCK"、"INFO"、"LOG"或"TEST" 中的一個。

(network_event.operation: BLOCK)
threat

比對定義威脅的有效字串。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

(network_event.threat: Torn RAT)
threat_class

比對威脅類別。字串值必須完全相符。

(network_event.threat_class: Malicious File Execution)

檔案
檔案屬性 說明
av_class

比對至少一個 av_class 分析標記。字串值必須完全相符。

(network_event.av_class: exploit)
file_category

比對支援的檔案類別之一。字串值必須完全相符。

(network_event.file_category: Java)
file_md5

比對有效的 MD5 總和。

(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1

比對有效的 SHA1 總和。

(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size

比對檔案大小,以位元組為單位。它必須是有效的整數。執行整數比較:相等、不相等、大於、小於等等。

(network_event.file_size: > 1042249837)
file_type

比對定義檔案類型的有效字串。支援萬用字元比較:* 用於多個字元,? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 *?

(network_event.file_type: ?xecutable)
malware

比對至少一個 av_familylastline_malware 分析標記。字串值必須完全相符。

(network_event.malware: emotet)
malware_activity

比對至少一個活動分析標記。字串值必須完全相符。

(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)

其他
其他屬性名稱 說明
custom_tag

比對指派給事件的使用者定義標記。字串值必須完全相符。

(network_event.custom_tag: tagged_event)

支援的動作

以下是定義規則時可以使用的動作。
動作名稱 說明
demote 將比對事件成果降級為不同的模式。

支援的目標:outcome

允許的值:「INFO」或「TEST」。

impact 設定對事件影響的下限或上限。

支援的目標:

  • impact:將下限和上限設定為相同的值。
  • max_impact:設定 impact 上限。小於或等於值。

  • min_impact:設定 impact 下限。大於或等於值。

允許的值:1-100 之間的整數。

suppress 隱藏比對事件上的所有威脅。這會導致將其計為誤報,影響為零 (0),這可有效地刪除該事件。

支援的目標:network_event

允許的值:無。

tag 為比對事件指派使用者定義的標記。

支援的目標:network_event

允許的值:有效字串。