特定のインジケーター検索タイプのパラメータが含まれます。
インジケーター検索には 2 つのタイプがあります:http_single_lookup(<Source id="http_single_lookup">およびhttp_file_lookup(<Source id="http_file_lookup">)。
http_single_lookup インジケーター検索タイプのルールは、Kaspersky CyberTrace Web を使用して単一の値が検索される時に使用します。
http_file_lookup インジケーター検索タイプのルールは、Kaspersky CyberTrace Web を使用してログファイル内の指定されたファイルまたはインジケーターのハッシュを検索する時に使用します。したがって、特別な形式を持つログファイル内に含まれる値を検索する必要がある場合、http_file_lookup インジケーター検索タイプにルールを指定することを推奨します。
設定情報ファイルに http_single_lookup インジケーター検索タイプまたは http_file_lookup インジケーター検索タイプが含まれている場合は、これらの既定のインジケーター検索タイプで指定されている正規表現を削除せず、必要に応じて編集することを強く推奨します。
パス
[LookupSettings]→[RegExps]→[Source]
属性
この要素には、次の属性があります。
[Source]要素の属性
属性 |
説明 |
|---|---|
|
インジケーター検索タイプの一意の識別子: |
ネストされた要素
この要素は、各インジケーターのタイプ(たとえば、IP アドレスや MD5 ハッシュ)の正規表現を定義するネストされた要素のコンテナです。
例
この要素の例は、次の通りです。
<Source id="http_single_lookup"> <RE_IP type="IP" extract="all">(.*)</RE_IP> <RE_MD5 type="MD5" extract="all">(.*)</RE_MD5> <RE_SHA1 type="SHA1" extract="all">(.*)</RE_SHA1> <RE_SHA256 type="SHA256" extract="all">(.*)</RE_SHA256> <RE_URL type="URL" extract="all">(.*)</RE_URL> </Source> |