警示規則語法

您可以使用警示規則語法，以定義在事件符合某個篩選器時 NSX Network Detection and Response 必須執行的動作。

警示規則由兩個部分組成：比對運算式和動作。

比對運算式

表達物件屬性上條件的子句組合。

比對運算式具有下列格式：object_type . attribute_type: [relation]value

比對運算式由下列四個部分組成。

部分名稱	說明
object_type	要比對的物件類型。支援下列記錄類型： network_event 物件類型及其屬性會使用句點 (`.`) 分隔。
attribute_type	要比對的屬性 (請參閱屬性項目)。 object_type.attribute_type 會使用冒號 (`:`) 與 [relation] 和值分隔。
[relation]	物件與及其屬性和要比對的值之間的關係。如果未指定關係，則預設為相等。支援的關係類型包括：相等 (`:`) 大於或等於 (`>`、`>=`) 小於或等於 (`<`、`<=`)
值	要與傳入事件的 object_type.attribute_type 比對的值。

多個比對運算式會使用邏輯運算子 AND、OR 和 NOT 分隔。

動作

要在物件上執行的一或多個修改。

動作具有下列格式：action : target = value

動作由三個部分組成：

部分名稱	說明
動作	要執行的動作 (請參閱支援的動作)。動作及其目標會使用冒號 (`:`) 分隔。
目標	支援的目標。
值	要套用至目標的可選值。

多個動作會使用逗號 (,) 分隔，並依定義它們的相同順序套用。

屬性項目

下列清單描述在建立或更新新的篩選器時，您可以使用的不同屬性項目。屬性會群組為下列 5 個類別。

來源

來源屬性	說明
`client_ip`	比對 IP 位址或 IP 位址範圍。位址值必須完全相符。 `(network_event.client_ip: 142.42.1.6/24)`
`other_host_hostname`	比對與事件相關聯的其他主機的主機名稱。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。 `(network_event.other_host_hostname: host.example.com)`
`other_host_in_homenet`	如果為 true，則比對與事件相關聯的其他主機的 IP 位址是否位於家用網路。預期為布林值。 `(network_event.other_host_in_homenet: false)`
`other_host_ip`	比對 IP 位址或 IP 位址範圍。位址值必須完全相符。 `(network_event.other_host_ip: 10.10.4.2)`
`other_host_tag`	比對主機標記。選取現有的主機標記。 `(network_event.other_host_tag: tag)`
`relevant_host_in_homenet`	如果為 true，則比對與事件相關聯的相關主機的 IP 位址是否位於家用網路。預期為布林值。 `(network_event.relevant_host_in_homenet: true)`
`relevant_host_ip`	比對 IP 位址或 IP 位址範圍。位址值必須完全相符。 `(network_event.relevant_host_ip: 42.6.7.0/16)`
`relevant_host_tag`	比對主機標記。選取現有的主機標記。 `(network_event.relevant_host_tag: tag)`
`relevant_host_whitelisted`	比對靜音來源 IP 位址。預期為布林值。 `(network_event.relevant_host_whitelisted: true)`
`server_ip`	比對 IP 位址或 IP 位址範圍。位址值必須完全相符。 `(network_event.server_ip: 12.6.6.6)`
`server_port`	比對連接埠號碼。執行整數比較：相等、不相等、大於、小於等等。 `(network_event.server_port: 7777)`
`transport_protocol`	比對 "TCP" 或 "UDP"。 `(network_event.transport_protocol: UDP)`

URL

URL 屬性說明

URL 屬性	說明
`full_url`	比對事件中的至少一個 URL。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。例如，必須逸出查詢字串字元 `?` (`\?`)： `(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)`
`normalized_url`	比對事件中的至少一個標準化 URL (不包含查詢字串的 URL)。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。 `(network_event.normalized_url: https://www.example.com/resource/path/)`
`resource_path`	比對事件中的至少一個 URL 資源路徑。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。

full_url

比對事件中的至少一個 URL。支援萬用字元比較：* 用於多個字元，? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 * 或 ?。

例如，必須逸出查詢字串字元 ? (\?)：

(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)

normalized_url

比對事件中的至少一個標準化 URL (不包含查詢字串的 URL)。支援萬用字元比較：* 用於多個字元，? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 * 或 ?。

(network_event.normalized_url: https://www.example.com/resource/path/)

resource_path 比對事件中的至少一個 URL 資源路徑。支援萬用字元比較：* 用於多個字元，? 用於單一字元。您必須逸出 (\) 萬用字元以比對文字 * 或 ?。

偵測

偵測屬性	說明
`custom_ids_rule_id`	比對 IDS 規則的識別碼。數值必須完全相符。 `(network_event.custom_ids_rule_id: 987654321)`
`detector`	比對偵測到事件的模組的名稱/唯一識別碼。字串值必須完全相符。 `(network_event.detector: llrules:1532130206460)`
`event_outcome`	比對 "DETECTION" 或 "INFO"。 `(network_event.event_outcome: DETECTION)`
`event_type`	比對 "BINARYDOWNLOAD"、"DNS"、"DNSANOMALY"、"DYNAMICIP"、"HTTPANOMALY"、"IDS"、"IP"、"LLANTARULE"、"NETFLOW"、"NETFLOWANOMALY"、"NETWORK"、"TLSANOMALY" 或 "URL" 中的一個。 `(network_event.event_type: IDS)`
`llanta_rule_uuid`	比對系統規則的 UUID。數值必須完全相符。 `(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)`
`operation`	比對 "BLOCK"、"INFO"、"LOG"或"TEST" 中的一個。 `(network_event.operation: BLOCK)`
`threat`	比對定義威脅的有效字串。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。 `(network_event.threat: Torn RAT)`
`threat_class`	比對威脅類別。字串值必須完全相符。 `(network_event.threat_class: Malicious File Execution)`

檔案

檔案屬性	說明
`av_class`	比對至少一個 `av_class` 分析標記。字串值必須完全相符。 `(network_event.av_class: exploit)`
`file_category`	比對支援的檔案類別之一。字串值必須完全相符。 `(network_event.file_category: Java)`
`file_md5`	比對有效的 MD5 總和。 `(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)`
`file_sha1`	比對有效的 SHA1 總和。 `(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)`
`file_size`	比對檔案大小，以位元組為單位。它必須是有效的整數。執行整數比較：相等、不相等、大於、小於等等。 `(network_event.file_size: > 1042249837)`
`file_type`	比對定義檔案類型的有效字串。支援萬用字元比較：`` 用於多個字元，`?` 用於單一字元。您必須逸出 (`\`) 萬用字元以比對文字 `` 或 `?`。 `(network_event.file_type: ?xecutable)`
`malware`	比對至少一個 `av_family` 或 `lastline_malware` 分析標記。字串值必須完全相符。 `(network_event.malware: emotet)`
`malware_activity`	比對至少一個活動分析標記。字串值必須完全相符。 `(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)`

其他

其他屬性名稱	說明
`custom_tag`	比對指派給事件的使用者定義標記。字串值必須完全相符。 `(network_event.custom_tag: tagged_event)`

支援的動作

以下是定義規則時可以使用的動作。

動作名稱	說明
`demote`	將比對事件成果降級為不同的模式。支援的目標：`outcome`。允許的值：「INFO」或「TEST」。
`impact`	設定對事件影響的下限或上限。支援的目標： `impact`：將下限和上限設定為相同的值。 `max_impact`：設定 `impact` 上限。小於或等於值。 `min_impact`：設定 `impact` 下限。大於或等於值。允許的值：1-100 之間的整數。
`suppress`	隱藏比對事件上的所有威脅。這會導致將其計為誤報，影響為零 (0)，這可有效地刪除該事件。支援的目標：`network_event`。允許的值：無。
`tag`	為比對事件指派使用者定義的標記。支援的目標：`network_event`。允許的值：有效字串。