Добавление правил нормализации
В этом разделе описывается порядок добавления правил нормализации к источнику событий.
О правилах нормализации
Правила нормализации используются для трансформации событий. После того как Kaspersky CyberTrace применит правила нормализации к входящему событию, это событие обрабатывается с помощью регулярных выражений.
Существуют два типа правил нормализации:
- Правила замены
Правила замены одной последовательности символов на другую.
- Правила игнорирования
Правила игнорирования событий, содержащих определенную последовательность символов.
Если заданы и правила замены, и правила игнорирования, сначала применяются правила замены, а затем — правила игнорирования.
В указанных регулярных выражениях звездочка (*) и вопросительный знак (?) не рассматриваются как подстановочные знаки.
Добавление правил нормализации
Добавление правил нормализации
Чтобы добавить правило нормализации, выполните следующие действия:
- Перейдите на страницу Settings.
- Откройте вкладку Matching.
- Найдите источник событий, который должен использовать новое правило нормализации. Нажмите
, чтобы открыть свойства источника событий.Откроется окно со свойствами выбранного источника событий.
- Перейдите на вкладку Normalization rules.
- Установите флажок Apply normalization rules.
- Если для источника событий уже указаны какие-либо правила нормализации, добавьте новый пункт. Нажмите Add new rule, чтобы добавить дополнительные текстовые поля для параметров нового правила.
- Задайте параметры правила:
- Для правила замены укажите регулярное выражение в поле ввода To replace и замену в текстовом поле Replace with.
- Для правила игнорирования укажите регулярное выражение в поле Ignore events that contain this.
- Нажмите на кнопку ОК.