ESM utilise des expressions régulières compatibles Perl (PCRE) lors de la création de règles de filtrage (d’annulation) spécifiques. Cet article explique comment créer des règles de filtre qui marquent les événements correspondant à partir d’une règle personnalisée avec une Ne pas analyser Tag. Ce marqueur empêche l’événement d’être ajouté au fichier de données de la source de données pour analyse.
Veuillez Cet article suppose que vous connaissez les expressions régulières et que vous créez des règles personnalisées dans l’Editeur de stratégies.
- Attribuez un nom à la règle. Par exemple : Evénements de connexion WMI générés par les comptes système.
- Définissez Niveau de gravité À 90.
- Sélectionnez le Non-respect de la casse cases.
- Sélectionnez le Envoyer le journal à ELM et Arrêter le traitement des règles de filtrage cases à cocher.
L’expression PCRE suivante recherche l’un des codes d’événement répertoriés à l’intérieur des crochets, puis un autre champ du texte du message contenant l’une des deux chaînes. Les chaînes spécifiques sont Nom du compte ou Nom d’utilisateur. Elles sont suivies d’une chaîne de caractères, d’espaces ou d’onglets avant le signe $ final à la fin du nom d’utilisateur ou de compte. Le signe $ indique que les événements sont des événements de connexion générés par ordinateur qui se produisent tous les jours, tous les jours, sur les systèmes Windows. Elles ne sont pas utiles dans les rapports d’analyses. Il est plus utile de rechercher les noms de compte d’utilisateur qui contiennent le nom ou l’adresse IP de la station de travail source dans le texte du message de l’événement.
(?s)\s*(?:538|540|624|626|672|675|4634|4636|4720|4722|4724|4768|4771).*?(?:Account|User)\s+Name:\s*[^\r\n]*?\$
- Attribuez un nom à la règle. Par exemple : Evénements d’avis de règle de pare-feu Window.
- Définissez Niveau de gravité À 90.
- Sélectionnez le Non-respect de la casse cases.
- Sélectionnez le Envoyer le journal à ELM et Arrêter le traitement des règles de filtrage cases à cocher.
L’expression PCRE suivante recherche Microsoft Windows code d’événement 4771 et une chaîne de texte de caractères après 4771 a été détectée. Cette expression régulière recherche l’ID d’événement 4771 et la chaîne de texte Windows Firewall n’a pas fourni la règle suivante dans les champs d’en-tête d’événement :
(?s)\s*(?:4771).*?(?:Windows+.+Firewall+.+did+.+not+.+supply+.+the+.+following+.+rule)
- Attribuez un nom à la règle : Evénements de plate-forme de filtrage de fenêtre.
- Définissez R2 niveau à 90.
- Sélectionnez le Non-respect de la casse cases.
- Sélectionnez le Envoyer le journal à ELM et Arrêter le traitement des règles de filtrage cases à cocher.
L’expression PCRE suivante recherche une chaîne de texte spécifique répertoriée dans le texte du message d’un événement Windows. Dans l’exemple suivant, il recherche Plate-forme de filtrage des Windows dans le texte du message et prend l’itinéraire approprié. (Envoyer à ELM ou V6. Aucun itinéraire):
(?s)\s*(?:Windows\sFiltering\sPlatform)
- Attribuez un nom à la règle : Adresses IP externes provenant d’intervalle d’adresses IP approuvés.
- Définissez R2 niveau à 90.
- Sélectionnez le Non-respect de la casse cases.
- Sélectionnez le Envoyer le journal à ELM et Arrêter le traitement des règles de filtrage cases à cocher.
L’expression PCRE suivante recherche une chaîne de texte’outside’suivie d’un nombre quelconque de caractères jusqu’aux trois premiers octets d’une adresse IP. 64.39.111 sont détectés. Dans l’exemple suivant, il inclut tous les événements avec la chaîne de texte « Outside » et toute adresse IP qui correspond aux trois premiers octets :
(?s)\s*(?:outside+.+64.39.111.)
- Nom de la règle : 'ZZ_Catch_All' règle. (Cette règle intercepte tous les événements qui ne correspondent pas à une règle de filtre. Il envoie ces événements afin qu’ils soient acheminés vers le dossier de la boîte de réception des sources de données appropriées. Cette règle correspond à tout ce qui a été redescendue des filtres de suppression personnalisés et est sélectionnée pour analyse.
- Définissez R2 niveau à 50.
- Sélectionnez le Tout mettre en correspondance cases.
- Sélectionnez le Envoyer le journal à l’analyseur syntaxique, Envoyer le journal à ELM, et Arrêter le traitement des règles de filtrage cases à cocher.