Содержит параметры для определенного источника событий.
Регулярные выражения и правила нормализации событий, задаваемые в конфигурационном файле, группируются по источникам событий, которым соответствуют элементы Source. Обычно такими источниками событий являются устройства, выдающие события, которые затем проверяются средствами Kaspersky CyberTrace Service. Каждый элемент Source содержит определенный набор правил. В элементе InputSettings > RegExps может быть один или несколько элементов Source.
Обратите внимание, что сначала применяются правила нормализации событий, а затем применяются регулярные выражения.
Особый источник событий
Непременно должен быть определен источник событий по умолчанию с идентификатором «default» (<Source id="default">). Правила источника событий по умолчанию имеют более низкий приоритет, чем правила, относящиеся к определенному источнику событий.
Регулярные выражения источника событий default для поиска URL, IP-адресов и хешей являются универсальными; т. е. их можно использовать для парсинга событий, выдаваемых большинством устройств. Эти регулярные выражения можно использовать для парсинга событий, содержащих несколько URL, однако нельзя использовать, например, для парсинга событий, содержащих URL без указания протокола. Использование универсальных регулярных выражений снижает производительность Kaspersky CyberTrace Service по сравнению с использованием регулярных выражений для конкретных устройств. Кроме того, универсальные регулярные выражения не обрабатывают разброс различных частей URL в событии (например, хоста и пути). Универсальные регулярные выражения для поиска хешей могут извлекать последовательности символов, которые на самом деле не являются хешами.
Путь
Domains > Domain > InputSettings > RegExps > Source
Атрибуты
У этого элемента есть следующие атрибуты.
Атрибуты элемента «Source»
Атрибут |
Описание |
|---|---|
|
Уникальный идентификатор источника событий. В событиях обнаружений киберугроз на идентификатор источника событий может ссылаться шаблон %SourceId%. |
|
IP-адрес источника событий. Если событие пришло из источника событий, имеющего указанный IP-адрес, к таком событию применяются правила обработки, заданные в этом элементе Этот атрибут невозможно задать для источника событий |
|
Имя хоста источника событий. Значение имени хоста извлекается из события. В событиях syslog имя хоста следует за меткой времени (https://tools.ietf.org/html/rfc5424). Например, в событии Если событие поступило из источника событий, обладающего указанным именем хоста, а IP-адрес источника событий не входит в число тех, что указаны в атрибуте Этот атрибут невозможно задать для источника событий |
|
Регулярное выражение, позволяющее определить, поступило ли событие из данного источника. Заданное регулярное выражение применяется к событию. Если регулярное выражение сопоставляет событие один или несколько раз, считается, что событие поступило из данного источника. В этом случае событие обрабатывается с использованием правил, содержащихся в данном элементе Этот атрибут невозможно задать для источника событий |
Вложенные элементы
Этот элемент является контейнером для следующих вложенных элементов:
Регулярные выражения, которые используются для парсинга входящих событий из этого источника.
Каждое регулярное выражение представляет собой отдельный элемент с именем, соответствующим имени регулярного выражения.
Правила изменения входящих событий.
Пример
Ниже приведен пример этого элемента.
<Source id="CustomSource" ip="192.0.2.15"> <RE_MD5 type="MD5" extract="all">([\da-fA-F]{32})</RE_MD5> <RE_SHA1 type="SHA1" extract="all">([\da-fA-F]{40})</RE_SHA1> <RE_SHA256 type="SHA256" extract="all">([\da-fA-F]{64})</RE_SHA256> <NormalizingRules> ... </NormalizingRules> </Source> |