Source
11 апреля 2024
ID 198832
Содержит параметры для определенного источника событий.
Регулярные выражения и правила нормализации событий, задаваемые в конфигурационном файле, группируются по источникам событий, которым соответствуют элементы Source. Обычно такими источниками событий являются устройства, выдающие события, которые затем проверяются средствами Kaspersky CyberTrace Service. Каждый элемент Source содержит определенный набор правил. В элементе InputSettings > RegExps может быть один или несколько элементов Source.
Порядок обработки правил
Алгоритм, по которому Kaspersky CyberTrace Service выбирает правила из различных элементов Source, описан на следующей блок-схеме.
Выбор правила
Обратите внимание, что сначала применяются правила нормализации событий, а затем применяются регулярные выражения.
Регулярные выражения источника событий default для поиска URL, IP-адресов и хешей являются универсальными; т. е. их можно использовать для парсинга событий, выдаваемых большинством устройств. Эти регулярные выражения можно использовать для парсинга событий, содержащих несколько URL, однако нельзя использовать, например, для парсинга событий, содержащих URL без указания протокола. Использование универсальных регулярных выражений снижает производительность Kaspersky CyberTrace Service по сравнению с использованием регулярных выражений для конкретных устройств. Кроме того, универсальные регулярные выражения не обрабатывают разброс различных частей URL в событии (например, хоста и пути). Универсальные регулярные выражения для поиска хешей могут извлекать последовательности символов, которые на самом деле не являются хешами.
Особые источники событий
Непременно должен быть определен источник событий по умолчанию с идентификатором «default» (<Source id="default">). Правила источника событий по умолчанию имеют более низкий приоритет, чем правила, относящиеся к определенному источнику событий. Сначала применяются правила, относящиеся к определенному источнику события. Далее применяются правила источника событий по умолчанию. Если правило, относящееся к определенному источнику событий, и правило источника событий по умолчанию имеют одно и то же имя, правило источника событий по умолчанию применяется только в том случае, если правило, относящееся к определенному источнику событий, не дает совпадений.
Предусмотрены также два особых источника событий, которые можно использовать: http_single_lookup (<Source id="http_single_lookup">) and http_file_lookup (<Source id="http_file_lookup">).
Правила источника событий http_single_lookup используются при поиске отдельных значений с помощью веб-интерфейса CyberTrace.
Правила источника событий http_file_lookup используются при поиске хешей указанных файлов или индикаторов в файлах журналов с помощью веб-интерфейса CyberTrace. Поэтому, если требуется найти значения, содержащиеся в файле журнала, имеющем особенный формат, рекомендуется задавать правила для источника событий http_file_lookup.
Если конфигурационный файл содержит источник событий http_single_lookup или источник событий http_file_lookup, настоятельно рекомендуется не удалять регулярные выражения, указанные в этих особых источниках событий по умолчанию, а вместо этого изменять их в соответствии с необходимостью.
Путь
InputSettings > RegExps > Source
Атрибуты
У этого элемента есть следующие атрибуты.
Атрибуты элемента «Source»
Атрибут | Описание |
|---|---|
| Уникальный идентификатор источника событий. В событиях обнаружений киберугроз на идентификатор источника события может ссылаться шаблон %SourceId%. |
| IP-адрес источника события. Если событие пришло из источника события, имеющего указанный IP-адрес, к таком событию применяются правила обработки, заданные в этом элементе Невозможно задать атрибут для источников событий |
| Имя хоста источника события. Значение имени хоста извлекается из события. В событиях syslog имя хоста следует за меткой времени (https://tools.ietf.org/html/rfc5424). Например, в событии Если событие поступило из источника события, обладающего указанным именем хоста, а IP-адрес источника события не входит в число тех, что указаны в атрибуте Невозможно задать атрибут для источников событий default, |
| Регулярное выражение, позволяющее определить, поступило ли событие из данного источника. Заданное регулярное выражение применяется к событию. Если регулярное выражение сопоставляет событие один или несколько раз, считается, что событие поступило из данного источника. В этом случае событие обрабатывается с использованием правил, содержащихся в данном элементе Невозможно задать атрибут для источников событий |
Вложенные элементы
Этот элемент является контейнером для следующих вложенных элементов:
- Регулярные выражения
Регулярные выражения, которые используются для парсинга входящих событий из этого источника.
Каждое регулярное выражение представляет собой отдельный элемент с именем, соответствующим имени регулярного выражения.
- NormalizingRules
Правила изменения входящих событий.
Пример
Ниже приведен пример этого элемента.
<Source id="CustomSource" ip="192.0.2.15"> <RE_MD5 type="MD5" extract="all">([\da-fA-F]{32})</RE_MD5> <RE_SHA1 type="SHA1" extract="all">([\da-fA-F]{40})</RE_SHA1> <RE_SHA256 type="SHA256" extract="all">([\da-fA-F]{64})</RE_SHA256> <NormalizingRules> ... </NormalizingRules> </Source> |
