Регулярные выражения для популярных источников событий

В этом разделе представлены регулярные выражения, предназначенные для использования при анализе событий, выдаваемых популярными источниками событий.

У разных версий определенных источников событий формат генерируемых событий может отличаться, поэтому регулярные выражения, приведенные в данном разделе, могут оказаться неактуальными. В этом случае следует скорректировать предлагаемые регулярные выражения.

Устройства FireEye

События, поступающие от продуктов FireEye, требуют следующих регулярных выражений:

События в формате CEF

Поле

Регулярное выражение

URL1

filePath=([^\s]*?)\s

URL2

cs5=([^\s]*?)\s

MD5

fileHash=([^\s]*?)\s

SrcIp

src=([^\s]*?)\s

DstIp

dst=([^\s]*?)\s
События в формате CSV

Поле

Регулярное выражение

URL1

cnchost=([^,]*?),

URL2

objurl=([^,]*?),

MD5

fileHash=([^,]*?),

SrcIp

src=([^,]*?),

DstIp

dst=([^,]*?),

Устройства Blue Coat SG

События, поступающие от продуктов Blue Coat® SG, требуют следующих регулярных выражений:

События SYSLOG

Поле

Регулярное выражение

URL

OBSERVED\s"(?:.*?)"\s(.*?)\s

URL2

http\s(.*?)\s\d+\s(.*?)\s

Устройства Websense

События, поступающие от продуктов Websense, требуют следующих регулярных выражений:

События CEF

Поле

Регулярное выражение

URL

request\=(.*?)(?:\s|$)

IP Address

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
События LEEF

Поле

Регулярное выражение

URL

url\=(.*?)(?:\s|$)

IP Address

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
пары «ключ-значение»

Поле

Регулярное выражение

URL

url\=(.*?)(?:\s|$)

IP Address

dst_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)

Squid

События, поступающие от продукта Squid, требуют следующих регулярных выражений:

Поле	Регулярное выражение
URL	`(?:GET\|POST)\s(.*?)(?:\s)`

Устройства McAfee Web Gateway

События, поступающие от продуктов McAfee® Web Gateway, требуют следующих регулярных выражений:

Стандартные события

Поле

Регулярное выражение

URL

url\=(.*?)(?:\|)

IP Address

server_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\|)
События CEF

Поле

Регулярное выражение

URL

request\=(.*?)(?:\s|$)

IP Address

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
События SYSLOG

Поле

Регулярное выражение

URL

(?:GET|POST)\s(.*?)(?:\s)

Устройства Check Point URL Filtering

Для событий от продуктов Check Point URL Filtering требуются следующие регулярные выражения:

События SYSLOG

Поле

Регулярное выражение

IP Address

(?:dst)\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Устройства Juniper Networks SRX

События, поступающие от продуктов Juniper Networks SRX, требуют следующих регулярных выражений:

События SYSLOG

Поле

Регулярное выражение

IP Address

(?:\sdestination-address)\="(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"\s

Устройства Check Point Firewall

События, поступающие от продуктов Check Point Firewall, требуют следующих регулярных выражений:

События SYSLOG

Поле

Регулярное выражение

IP Address

dst\:(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Palo Alto Networks

События, поступающие от продуктов Palo Alto Networks, требуют следующих регулярных выражений:

События LEEF

Поле

Регулярное выражение

IP Address

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
События SYSLOG

Поле

Регулярное выражение

IP Address

(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
События CEF

Поле

Регулярное выражение

IP Address

dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)

Устройства Fortinet FortiGate

События, поступающие от продуктов Fortinet FortiGate, требуют следующих регулярных выражений:

События SYSLOG

Поле

Регулярное выражение

IP Address

(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

Устройства Cisco IPS

События, поступающие от продуктов Cisco IPS, требуют следующих регулярных выражений:

Поле	Регулярное выражение
IP Address	`(?:dst.?\|to.?\|Dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`

Устройства Snort

События, поступающие от продукта Snort®, требуют следующих регулярных выражений:

События UNIFIED2

Поле

Регулярное выражение

IP Address

(?:destination.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
CSV-события

Поле

Регулярное выражение

IP Address

(?:.*?,.*?,.*?,.*?,)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

В качестве альтернативы для парсинга событий всех типов можно использовать следующие регулярные выражения:

Поле	Регулярное выражение
IP Address	`(?:destination.?\|.?,.?,.?,.*?,)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`

Устройства Cisco IronPort

События, поступающие от продуктов Cisco IronPort®, требуют следующих регулярных выражений:

События SYSLOG

Поле

Регулярное выражение

URL

(?:GET|POST)\s(.*?)\s

IP Address

(?:NONE|DIRECT|DEFAULT_PARENT)\/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})

В начало

Поле	Регулярное выражение
URL1	`filePath=([^\s]*?)\s`
URL2	`cs5=([^\s]*?)\s`
MD5	`fileHash=([^\s]*?)\s`
SrcIp	`src=([^\s]*?)\s`
DstIp	`dst=([^\s]*?)\s`

Поле	Регулярное выражение
URL	`OBSERVED\s"(?:.?)"\s(.?)\s`
URL2	`http\s(.?)\s\d+\s(.?)\s`

Поле	Регулярное выражение
URL	`request\=(.*?)(?:\s\|$)`
IP Address	`dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s\|$)`

Поле	Регулярное выражение
URL	`url\=(.*?)(?:\s\|$)`
IP Address	`dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s\|$)`

Поле	Регулярное выражение
URL	`url\=(.*?)(?:\\|)`
IP Address	`server_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\\|)`

Поле	Регулярное выражение
URL	`(?:GET\|POST)\s(.*?)\s`
IP Address	`(?:NONE\|DIRECT\|DEFAULT_PARENT)\/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})`