Source

Содержит параметры для определенного источника событий.

Регулярные выражения и правила нормализации событий, задаваемые в конфигурационном файле, группируются по источникам событий, которым соответствуют элементы Source. Обычно такими источниками событий являются устройства, выдающие события, которые затем проверяются средствами Kaspersky CyberTrace Service. Каждый элемент Source содержит определенный набор правил. В элементе InputSettings > RegExps может быть один или несколько элементов Source.

Порядок обработки правил

Алгоритм, по которому Kaspersky CyberTrace Service выбирает правила из различных элементов Source, описан на следующей блок-схеме.

Схема выбора правила в сервисе CyberTrace.

Выбор правила

Обратите внимание, что сначала применяются правила нормализации событий, а затем применяются регулярные выражения.

Регулярные выражения источника событий default для поиска URL, IP-адресов и хешей являются универсальными; т. е. их можно использовать для парсинга событий, выдаваемых большинством устройств. Эти регулярные выражения можно использовать для парсинга событий, содержащих несколько URL, однако нельзя использовать, например, для парсинга событий, содержащих URL без указания протокола. Использование универсальных регулярных выражений снижает производительность Kaspersky CyberTrace Service по сравнению с использованием регулярных выражений для конкретных устройств. Кроме того, универсальные регулярные выражения не обрабатывают разброс различных частей URL в событии (например, хоста и пути). Универсальные регулярные выражения для поиска хешей могут извлекать последовательности символов, которые на самом деле не являются хешами.

Особые источники событий

Непременно должен быть определен источник событий по умолчанию с идентификатором «default» (<Source id="default">). Правила источника событий по умолчанию имеют более низкий приоритет, чем правила, относящиеся к определенному источнику событий.

Предусмотрены также два особых источника событий, которые можно использовать: http_single_lookup (<Source id="http_single_lookup">) and http_file_lookup (<Source id="http_file_lookup">).

Правила источника событий http_single_lookup используются при поиске отдельных значений с помощью веб-интерфейса Kaspersky CyberTrace.

Правила источника событий http_file_lookup используются при поиске хешей указанных файлов или индикаторов в файлах журналов с помощью веб-интерфейса Kaspersky CyberTrace. Поэтому, если требуется найти значения, содержащиеся в файле журнала, имеющем особенный формат, рекомендуется задавать правила для источника событий http_file_lookup.

Если конфигурационный файл содержит источник событий http_single_lookup или источник событий http_file_lookup, настоятельно рекомендуется не удалять регулярные выражения, указанные в этих особых источниках событий по умолчанию, а вместо этого изменять их в соответствии с необходимостью.

Путь

InputSettings > RegExps > Source

Атрибуты

У этого элемента есть следующие атрибуты.

Атрибуты элемента «Source»

Атрибут	Описание
`id`	Уникальный идентификатор источника событий. В событиях обнаружений киберугроз на идентификатор источника события может ссылаться шаблон %SourceId%.
`ip`	IP-адрес источника события. Если событие пришло из источника события, имеющего указанный IP-адрес, к таком событию применяются правила обработки, заданные в этом элементе `Source`. Если IP-адрес источника события не входит в число тех, что указаны в атрибуте `ip` элементов `Source`, определяется имя хоста источника события и выполняется поиск элемента `Source`, у которого в атрибуте `hostname` задано это имя хоста. Для обработки события используются правила этого элемента `Source`. Невозможно задать атрибут для источников событий `default`, `http_single_lookup` и `http_file_lookup`.
`hostname`	Имя хоста источника события. Значение имени хоста извлекается из события. В событиях syslog имя хоста следует за меткой времени (https://tools.ietf.org/html/rfc5424). Например, в событии `Feb 2 11:57:59 sample-hostname alert: sample event text` именем хоста является строка `sample-hostname`. Если событие поступило из источника события, обладающего указанным именем хоста, а IP-адрес источника события не входит в число тех, что указаны в атрибуте `ip` элементов `Source`, событие обрабатывается с использованием правил, содержащихся в этом элементе `Source`. Невозможно задать атрибут для источников событий default, `http_single_lookup и http_file_lookup`.
`regex`	Регулярное выражение, позволяющее определить, поступило ли событие из данного источника. Заданное регулярное выражение применяется к событию. Если регулярное выражение сопоставляет событие один или несколько раз, считается, что событие поступило из данного источника. В этом случае событие обрабатывается с использованием правил, содержащихся в данном элементе `Source`. Невозможно задать атрибут для источников событий `default`, `http_single_lookup` и `http_file_lookup`.

Вложенные элементы

Этот элемент является контейнером для следующих вложенных элементов:

Регулярные выражения
Регулярные выражения, которые используются для парсинга входящих событий из этого источника.

Каждое регулярное выражение представляет собой отдельный элемент с именем, соответствующим имени регулярного выражения.
NormalizingRules
Правила изменения входящих событий.

Пример

Ниже приведен пример этого элемента.

<RE_MD5 type="MD5" extract="all">([\da-fA-F]{32})</RE_MD5>

<RE_SHA1 type="SHA1" extract="all">([\da-fA-F]{40})</RE_SHA1>

<RE_SHA256 type="SHA256" extract="all">([\da-fA-F]{64})</RE_SHA256>

...

</NormalizingRules>

</Source>

В начало