Добавление правил нормализации

В этом разделе описывается порядок добавления правил нормализации к источнику событий.

О правилах нормализации

Правила нормализации используются для трансформации событий. После того как Kaspersky CyberTrace применит правила нормализации к входящему событию, это событие обрабатывается с помощью регулярных выражений.

Существуют два типа правил нормализации:

• Правила замены

  Правила замены одной последовательности символов на другую.

• Правила игнорирования

  Правила игнорирования событий, содержащих определенную последовательность символов.

Если заданы и правила замены, и правила игнорирования, сначала применяются правила замены, а затем — правила игнорирования.

В указанных регулярных выражениях звездочка (*) и вопросительный знак (?) не рассматриваются как подстановочные знаки.

Добавление правил нормализации

Добавление правил нормализации

Чтобы добавить правило нормализации, выполните следующие действия:

1. Перейдите на страницу Settings.
2. Откройте вкладку Matching.
3. Найдите источник событий, который должен использовать новое правило нормализации. Нажмите , чтобы открыть свойства источника событий.

   Откроется окно со свойствами выбранного источника событий.

4. Перейдите на вкладку Normalization rules.
5. Установите флажок Apply normalization rules.
6. Если для источника событий уже указаны какие-либо правила нормализации, добавьте новый пункт. Нажмите Add new rule, чтобы добавить дополнительные текстовые поля для параметров нового правила.
7. Задайте параметры правила:
   • Для правила замены укажите регулярное выражение в поле ввода To replace и замену в текстовом поле Replace with.
   • Для правила игнорирования укажите регулярное выражение в поле Ignore events that contain this.
8. Нажмите на кнопку ОК.