您可以使用警示規則語法,以定義在事件符合某個篩選器時 NSX Network Detection and Response 必須執行的動作。
警示規則由兩個部分組成:比對運算式和動作。
- 比對運算式
-
表達物件屬性上條件的子句組合。
比對運算式具有下列格式:
object_type . attribute_type: [relation]value
比對運算式由下列四個部分組成。部分名稱 說明 object_type 要比對的物件類型。支援下列記錄類型: - network_event
物件類型及其屬性會使用句點 (
.
) 分隔。attribute_type 要比對的屬性 (請參閱屬性項目)。
object_type.attribute_type 會使用冒號 (
:
) 與 [relation] 和值分隔。[relation] 物件與及其屬性和要比對的值之間的關係。如果未指定關係,則預設為相等。支援的關係類型包括:
-
相等 (
:
) -
大於或等於 (
>
、>=
) -
小於或等於 (
<
、<=
)
值 要與傳入事件的 object_type.attribute_type 比對的值。 多個比對運算式會使用邏輯運算子
AND
、OR
和NOT
分隔。 - 動作
-
要在物件上執行的一或多個修改。
動作具有下列格式:
action : target = value
動作由三個部分組成:部分名稱 說明 動作 要執行的動作 (請參閱支援的動作)。動作及其目標會使用冒號 ( :
) 分隔。目標 支援的目標。 值 要套用至目標的可選值。 多個動作會使用逗號 (
,
) 分隔,並依定義它們的相同順序套用。
屬性項目
- 來源
-
來源屬性 說明 client_ip
比對 IP 位址或 IP 位址範圍。位址值必須完全相符。
(network_event.client_ip: 142.42.1.6/24)
other_host_hostname
比對與事件相關聯的其他主機的主機名稱。支援萬用字元比較:
*
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。(network_event.other_host_hostname: host.example.com)
other_host_in_homenet
如果為 true,則比對與事件相關聯的其他主機的 IP 位址是否位於家用網路。預期為布林值。
(network_event.other_host_in_homenet: false)
other_host_ip
比對 IP 位址或 IP 位址範圍。位址值必須完全相符。
(network_event.other_host_ip: 10.10.4.2)
other_host_tag
比對主機標記。選取現有的主機標記。
(network_event.other_host_tag: tag)
relevant_host_in_homenet
如果為 true,則比對與事件相關聯的相關主機的 IP 位址是否位於家用網路。預期為布林值。
(network_event.relevant_host_in_homenet: true)
relevant_host_ip
比對 IP 位址或 IP 位址範圍。位址值必須完全相符。
(network_event.relevant_host_ip: 42.6.7.0/16)
relevant_host_tag
比對主機標記。選取現有的主機標記。
(network_event.relevant_host_tag: tag)
relevant_host_whitelisted
比對靜音來源 IP 位址。預期為布林值。
(network_event.relevant_host_whitelisted: true)
server_ip
比對 IP 位址或 IP 位址範圍。位址值必須完全相符。
(network_event.server_ip: 12.6.6.6)
server_port
比對連接埠號碼。執行整數比較:相等、不相等、大於、小於等等。
(network_event.server_port: 7777)
transport_protocol
比對 "TCP" 或 "UDP"。
(network_event.transport_protocol: UDP)
- URL
-
URL 屬性 說明 full_url
比對事件中的至少一個 URL。支援萬用字元比較:
*
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。例如,必須逸出查詢字串字元
?
(\?
):(network_event.full_url: https://www.example.com/resource/path\?r=start&v=cK5G8fPmWeA)
normalized_url
比對事件中的至少一個標準化 URL (不包含查詢字串的 URL)。支援萬用字元比較:
*
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。(network_event.normalized_url: https://www.example.com/resource/path/)
resource_path
比對事件中的至少一個 URL 資源路徑。支援萬用字元比較: *
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。 - 偵測
-
偵測屬性 說明 custom_ids_rule_id
比對 IDS 規則的識別碼。數值必須完全相符。
(network_event.custom_ids_rule_id: 987654321)
detector
比對偵測到事件的模組的名稱/唯一識別碼。字串值必須完全相符。
(network_event.detector: llrules:1532130206460)
event_outcome
比對 "DETECTION" 或 "INFO"。
(network_event.event_outcome: DETECTION)
event_type
比對 "BINARYDOWNLOAD"、"DNS"、"DNSANOMALY"、"DYNAMICIP"、"HTTPANOMALY"、"IDS"、"IP"、"LLANTARULE"、"NETFLOW"、"NETFLOWANOMALY"、"NETWORK"、"TLSANOMALY" 或 "URL" 中的一個。
(network_event.event_type: IDS)
llanta_rule_uuid
比對系統規則的 UUID。數值必須完全相符。
(network_event.llanta_rule_uuid: b579caeec719415cb04f925f8f187cb0)
operation
比對 "BLOCK"、"INFO"、"LOG"或"TEST" 中的一個。
(network_event.operation: BLOCK)
threat
比對定義威脅的有效字串。支援萬用字元比較:
*
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。(network_event.threat: Torn RAT)
threat_class
比對威脅類別。字串值必須完全相符。
(network_event.threat_class: Malicious File Execution)
- 檔案
-
檔案屬性 說明 av_class
比對至少一個
av_class
分析標記。字串值必須完全相符。(network_event.av_class: exploit)
file_category
比對支援的檔案類別之一。字串值必須完全相符。
(network_event.file_category: Java)
file_md5
比對有效的 MD5 總和。
(network_event.file_md5: bb4f64ddfb8704d2bf69b0216be7f837)
file_sha1
比對有效的 SHA1 總和。
(network_event.file_sha1: c3e266ede7f6fec7a021a4ae0edf248848d5ae06)
file_size
比對檔案大小,以位元組為單位。它必須是有效的整數。執行整數比較:相等、不相等、大於、小於等等。
(network_event.file_size: > 1042249837)
file_type
比對定義檔案類型的有效字串。支援萬用字元比較:
*
用於多個字元,?
用於單一字元。您必須逸出 (\
) 萬用字元以比對文字*
或?
。(network_event.file_type: ?xecutable)
malware
比對至少一個
av_family
或lastline_malware
分析標記。字串值必須完全相符。(network_event.malware: emotet)
malware_activity
比對至少一個活動分析標記。字串值必須完全相符。
(network_event.malware_activity: Execution: Spawning Powershell with too many parameters)
- 其他
-
其他屬性名稱 說明 custom_tag
比對指派給事件的使用者定義標記。字串值必須完全相符。
(network_event.custom_tag: tagged_event)
支援的動作
動作名稱 | 說明 |
---|---|
demote |
將比對事件成果降級為不同的模式。 支援的目標: 允許的值:「INFO」或「TEST」。 |
impact |
設定對事件影響的下限或上限。 支援的目標:
允許的值:1-100 之間的整數。 |
suppress |
隱藏比對事件上的所有威脅。這會導致將其計為誤報,影響為零 (0),這可有效地刪除該事件。 支援的目標: 允許的值:無。 |
tag |
為比對事件指派使用者定義的標記。 支援的目標: 允許的值:有效字串。 |