У меня есть несколько строк поиска от siem, чтобы выделить определенные события безопасности из журналов Windows.
Проблема состоит в том, что эти строки поиска содержат вложенные логические операторы, и мне нужно сгладить их, чтобы отобразить каждую возможную опцию в отдельной строке.
До сих пор я пытался разделить соответствующие разделы (Source, event_ids, дополнительные параметры)
Проблема связана с вложенностью, а также с различными операционными и операционными функциями, с которыми я борюсь, чтобы достичь этого.
((`sysmon` event_id=1) OR (`windows-security` event_id=4688)) (process_command_line="*control* \/name*" OR process_command_line="rundll32* shell32.dll Control_RunDLL") \
`sysmon` (event_id=12 OR event_id=13 OR event_id=14) (registry_key_path="*\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ControlPanel\\NameSpace*" OR registry_key_path="*\\Software\\Microsoft\\Windows\\CurrentVersion\\Controls Folder\\*\\Shellex\\PropertySheetHandlers\\*" OR registry_key_path="*\\Software\\Microsoft\\Windows\\CurrentVersion\\Control Panel\\*") \
((`sysmon` event_id=1) OR (`windows-security` event_id=4688)) (process_name="net.exe" AND process_command_line="*net* config*") OR (process_name="ipconfig.exe" OR process_name="netsh.exe" OR process_name="arp.exe" OR process_name="nbtstat.exe") \
Я бы ожидал, что смогу сгладить каждую из них, и в результате получится несколько строк с плоским совпадением, которые содержат только AND
например, * +1008 *
Оригинал:
((`sysmon` event_id=1) OR (`windows-security` event_id=4688)) (process_command_line="*control* \/name*" OR process_command_line="rundll32* shell32.dll Control_RunDLL") \
Ожидаемый результат:
sysmon, event_id=1, process_command_line="*control* \/name*"
sysmon, event_id=1, process_command_line="rundll32* shell32.dll Control_RunDLL"
windows-security, event_id=4688, process_command_line="*control* \/name*"
windows-security, event_id=4688, process_command_line="rundll32* shell32.dll Control_RunDLL"