主要なイベントソースに対応する正規表現
2024年4月11日
ID 171633
このセクションでは、主要なイベントソースが発行するイベントの解析に使用する正規表現を紹介します。
バージョンの異なる特定のイベントソースは、異なる形式のイベントを生成する可能性があるため、このセクションで言及する正規表現は実際のものではない可能性があります。この場合、言及されている正規表現を修正する必要があります。
FireEye
FireEye 製品からのイベントには、次の正規表現が必要です:
- CEF 形式のイベント
Field
Regular expression
URL1
filePath=([^\s]*?)\sURL2
cs5=([^\s]*?)\sMD5
fileHash=([^\s]*?)\sSrcIp
src=([^\s]*?)\sDstIp
dst=([^\s]*?)\s - CSV 形式のイベント
Field
Regular expression
URL1
cnchost=([^,]*?),URL2
objurl=([^,]*?),MD5
fileHash=([^,]*?),SrcIp
src=([^,]*?),DstIp
dst=([^,]*?),
Blue Coat SG
Blue Coat SG 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
URL
OBSERVED\s"(?:.*?)"\s(.*?)\sURL2
http\s(.*?)\s\d+\s(.*?)\s
Websense
Websense 製品からのイベントには、次の正規表現が必要です:
- CEF イベント
Field
Regular expression
URL
request\=(.*?)(?:\s|$)IP アドレス
dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$) - LEEF イベント
Field
Regular expression
URL
url\=(.*?)(?:\s|$)IP アドレス
dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$) - キー値ペア
Field
Regular expression
URL
url\=(.*?)(?:\s|$)IP アドレス
dst_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
Squid
Squid 製品からのイベントには、次の正規表現が必要です:
Field | Regular expression |
URL |
|
McAfee Web Gateway
McAfee Web Gateway 製品からのイベントには、次の正規表現が必要です:
- 標準イベント
Field
Regular expression
URL
url\=(.*?)(?:\|)IP アドレス
server_ip\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\|) - CEF イベント
Field
Regular expression
URL
request\=(.*?)(?:\s|$)IP アドレス
dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$) - SYSLOG イベント
Field
Regular expression
URL
(?:GET|POST)\s(.*?)(?:\s)
Check Point URL Filtering
Check Point URL Filtering 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
IP アドレス
(?:dst)\s(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Juniper Networks SRX
Juniper Networks SRX 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
IP アドレス
(?:\sdestination-address)\="(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"\s
Check Point Firewall
Check Point Firewall 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
IP アドレス
dst\:(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Palo Alto Networks
Palo Alto Networks 製品からのイベントには、次の正規表現が必要です:
- LEEF イベント
Field
Regular expression
IP アドレス
dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$) - SYSLOG イベント
Field
Regular expression
IP アドレス
(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) - CEF イベント
Field
Regular expression
IP アドレス
dst\=(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})(?:\s|$)
Fortinet FortiGate
Fortinet FortiGate 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
IP アドレス
(?:dst.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
Cisco IPS
Cisco IPS 製品からのイベントには、次の正規表現が必要です:
Field | Regular expression |
IP アドレス |
|
Snort
Snort 製品からのイベントには、次の正規表現が必要です:
- UNIFIED2 イベント
Field
Regular expression
IP アドレス
(?:destination.*?)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) - CSV イベント
Field
Regular expression
IP アドレス
(?:.*?,.*?,.*?,.*?,)(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})
または、すべての種別のイベントの解析に対して次の正規表現を使用できます:
Field | Regular expression |
IP アドレス |
|
Cisco IronPort
Cisco IronPort 製品からのイベントには、次の正規表現が必要です:
- SYSLOG イベント
Field
Regular expression
URL
(?:GET|POST)\s(.*?)\sIP アドレス
(?:NONE|DIRECT|DEFAULT_PARENT)\/(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})