type

Задает тип значения, извлекаемого этим регулярным выражением.

Возможные значения:

• URL — URL
• MD5 — хеш MD5
• SHA1 — хеш SHA1
• SHA256 — хеш SHA256
• HASH — хеш MD5, SHA1 или SHA256
• IP — IP-адрес
• DOMAIN — доменное имя
• CONTEXT — контекстная информация

Этот атрибут не является обязательным. Если он не указан, используется значение CONTEXT по умолчанию.

extract

Указывает, как именно должны извлекаться множественные значения, совпавшие с регулярным выражением.

Возможные значения: all и first.

Значение all указывает, что извлекаться должны все значения, совпавшие с регулярным выражением. Для каждого совпавшего значения создается отдельное оповещение об обнаружении индикаторов компрометации.

Значение first указывает, что извлекаться должно только первое значение, совпавшее с регулярным выражением.

concatenate

Задает правило для формирования составного значения из данных, извлеченных из события.

use_for_retroscan

Указывает, должно ли извлеченное значение, сопоставленное с указанным регулярным выражением, использоваться для ретроспективного сканирования.

Если извлеченное значение должно использоваться для ретроспективного сканирования, для этого атрибута устанавливается значение true.

Если извлеченное значение не должно использоваться для ретроспективного сканирования, для этого атрибута устанавливается значение false.

<RE_MD5 type="MD5" extract="all" use_for_retroscan="false">([\da-fA-F]{32})</RE_MD5>