特定のイベントソースのパラメーターが含まれます。
設定情報ファイルに指定されている正規表現とイベントの正規化ルールは、[Source]によって表されるイベントソースによってグループ化されます。通常、これらのイベントソースは、イベントを発行するデバイスであり、これらは後で Kaspersky CyberTrace サービスによって確認されます。すべての[Source]要素には一連のルールが含まれます。[InputSettings]→[RegExps]要素には 1 つ以上の[Source]要素がある場合があります。
イベントの正規化ルールが最初に適用され、その後に正規表現が適用されることに注意してください。
特別なイベントソース
既定の識別子を持つイベントソース(<Source id="default">)が存在する必要があります。既定のイベントソースのルールは、イベントソース固有のルールより優先度が低くなります。
URL、IP アドレス、ハッシュを検索するための default イベントソースの正規表現は汎用です。つまり、これらは、大半のデバイスによって発行されるイベントを解析するために使用できます。これらは、複数の URL が含まれるイベントを解析するために使用できますが、たとえば、プロトコルが指定されていない URL が含まれるイベントを解析するために使用することはできません。汎用の正規表現を使用すると、デバイス固有の正規表現を使用する場合と比べて Kaspersky CyberTrace サービスのパフォーマンスが低下します。また、汎用の正規表現では、URL の様々な部分(ホストやパスなど)のイベント内での分散は処理されません。ハッシュを検索するための汎用の正規表現では、実際にはハッシュではない文字シーケンスを抽出できます。
パス
[Domains]→[Domain]→[InputSettings]→[RegExps]→[Source]
属性
この要素には、次の属性があります。
[Source]要素の属性
属性 |
説明 |
|---|---|
|
イベントソースの一意の識別子。 検知イベントでは、イベントソースの識別子は %SourceId% pattern によって参照できます。 |
|
イベントソースの IP アドレス。 特別な IP アドレスを持つイベントソースからイベントが到達した場合、このイベントは、この[ この属性は、 |
|
イベントソースのホスト名。ホスト名の値は、イベントから抽出されます。syslog イベントでは、ホスト名はタイムスタンプ(https://tools.ietf.org/html/rfc5424)に従います。たとえば、イベント 特別なホスト名を持つイベントソースからイベントが到達した場合、イベントソースの IP アドレスが[ この属性は、 |
|
イベントがソースからのものであるかどうかを確認するために使用される正規表現。 指定した正規表現がイベントに適用されます。正規表現がイベントと 1 回以上一致する場合、イベントはソースからのものであると判断されます。この場合、イベントは、この[ この属性は、 |
ネストされた要素
この要素は、次のネストされた要素のコンテナです:
このソースから発生する受信イベントを解析するために使用される正規表現。
各正規表現は、正規表現の名前を持つ個別の要素です。
受信イベントを変更するためのルール。
例
この要素の例は、次の通りです。
<Source id="CustomSource" ip="192.0.2.15"> <RE_MD5 type="MD5" extract="all">([\da-fA-F]{32})</RE_MD5> <RE_SHA1 type="SHA1" extract="all">([\da-fA-F]{40})</RE_SHA1> <RE_SHA256 type="SHA256" extract="all">([\da-fA-F]{64})</RE_SHA256> <NormalizingRules> ... </NormalizingRules> </Source> |