Source > Regular expression

concatenate

Задает правило для формирования составного значения из данных, извлеченных из события.

extract

Атрибут extract указывает, как именно должны извлекаться множественные значения, сопоставленные с регулярным выражением.

Возможные значения: all и first.

Значение all указывает, что извлекаться должны все значения, сопоставленные с регулярным выражением. Для каждого сопоставленного значения создается отдельное событие обнаруженной киберугрозы.

Значение first указывает, что извлекаться должно только первое значение, сопоставленное с регулярным выражением.

type

Задает тип значения, извлекаемого этим регулярным выражением.

Возможные значения:

• URL — URL
• MD5 — хеш MD5
• SHA1 — хеш SHA1
• SHA256 — хеш SHA256
• HASH — хеш MD5, SHA1 или SHA256
• IP — IP-адрес
• DOMAIN — доменное имя
• CONTEXT — контекстная информация

Этот атрибут не является обязательным. Если он не указан, используется значение CONTEXT по умолчанию.

use_for_retroscan

Указывает, должно ли извлеченное значение, сопоставленное с указанным регулярным выражением, использоваться для ретроспективного сканирования.

Если извлеченное значение должно использоваться для ретроспективного сканирования, для этого атрибута устанавливается значение true.

Если извлеченное значение не должно использоваться для ретроспективного сканирования, для этого атрибута устанавливается значение false.

Этот атрибут нельзя использовать в элементах, в которых установлен атрибут RegExps > Source > id для источников событий http_file_lookup или http_single_lookup.

<RE_MD5 type="MD5" use_for_retroscan="true" extract="all">([\da-fA-F]{32})</RE_MD5>