ESM utilizza le espressioni regolari compatibili con Perl (PCRE) durante la creazione di regole di filtro (scartare) specifiche. In questo articolo viene descritto come creare regole di filtro che contrassegnano gli eventi corrispondenti da una regola personalizzata con un Non analizzare Tag. Questo tag impedisce che l'evento venga aggiunto al file di dati dell'origine dati per l'analisi.
Nota In questo articolo si presuppone che l'utente conosca l'espressione regolare e crei regole personalizzate nell'editor di policy.
- Assegnare un nome alla regola. Per esempio: Eventi di accesso WMI generati dagli account di sistema.
- Impostare Livello di gravità A 90.
- Selezionare il Distinzione tra maiuscole e minuscole casella controllo.
- Selezionare il Invia log a ELM e Interrompi elaborazione delle regole di filtraggio caselle.
L'espressione PCRE seguente cerca uno dei codici evento elencati all'interno delle parentesi quadre e un altro campo nel testo del messaggio contenente una delle due stringhe. Le stringhe specifiche sono Nome account o Nome utente. Sono seguite da una stringa di caratteri, spazi o tabulazioni prima del segno finale $ alla fine del nome utente o dell'account. Il segno $ indica che gli eventi sono eventi di accesso generati dal computer che si verificano tutto il giorno, ogni giorno, su Windows sistemi. Non sono utili nei rapporti forensi. È più utile cercare i nomi degli account utente che contengono il nome della workstation di origine o l'indirizzo IP nel testo del messaggio dell'evento.
(?s)\s*(?:538|540|624|626|672|675|4634|4636|4720|4722|4724|4768|4771).*?(?:Account|User)\s+Name:\s*[^\r\n]*?\$
- Assegnare un nome alla regola. Per esempio: Eventi di avviso di regola di Window firewall.
- Impostare Livello di gravità A 90.
- Selezionare il Distinzione tra maiuscole e minuscole casella controllo.
- Selezionare il Invia log a ELM e Interrompi elaborazione delle regole di filtraggio caselle.
L'espressione PCRE seguente cerca Microsoft Windows codice evento 4771 e una stringa di testo di caratteri dopo 4771 è stata rilevata. Questa espressione Regex cerca l'ID evento 4771 e la stringa di testo Windows Firewall non ha fornito la regola seguente nei campi dell'intestazione dell'evento:
(?s)\s*(?:4771).*?(?:Windows+.+Firewall+.+did+.+not+.+supply+.+the+.+following+.+rule)
- Assegnare un nome alla regola: Eventi della piattaforma di filtraggio delle finestre.
- Impostare Gravità livello a 90.
- Selezionare il Distinzione tra maiuscole e minuscole casella controllo.
- Selezionare il Invia log a ELM e Interrompi elaborazione delle regole di filtraggio caselle.
L'espressione PCRE seguente cerca una stringa di testo specifica elencata nel testo del messaggio di un evento Windows. Nell'esempio riportato di seguito, Cerca Piattaforma di filtraggio Windows nel testo del messaggio e viene intrapreso il percorso appropriato. (Invia a ELM o Ignora. Nessuna route):
(?s)\s*(?:Windows\sFiltering\sPlatform)
- Assegnare un nome alla regola: Indirizzi IP esterni provenienti da intervallo di indirizzi IP affidabili.
- Impostare Gravità livello a 90.
- Selezionare il Distinzione tra maiuscole e minuscole casella controllo.
- Selezionare il Invia log a ELM e Interrompi elaborazione delle regole di filtraggio caselle.
L'espressione PCRE seguente cerca una stringa di testo "esterna" seguita da un numero qualsiasi di caratteri fino ai primi tre ottetti di un indirizzo IP 64.39.111 vengono rilevati. Nell'esempio seguente, includerebbe tutti gli eventi con la stringa di testo "esterna" e tutti gli indirizzi IP che corrispondono ai primi tre ottetti:
(?s)\s*(?:outside+.+64.39.111.)
- Nome della regola: 'ZZ_Catch_All' regola. Questa regola consente di intercettare ogni evento che non soddisfa una regola di filtro. Invia questi eventi per essere instradati alla cartella di posta in arrivo delle origini dati appropriata. Questa regola corrisponde a tutto ciò che "è stato eliminato" dai filtri di eliminazione personalizzati ed è selezionato per l'analisi.
- Impostare Gravità livello a 50.
- Selezionare il Corrispondenza di tutti casella controllo.
- Selezionare il Invia registro a parser, Invia log a ELM, e Interrompi elaborazione delle regole di filtraggio caselle.