文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >RegEx for QRadar SIEM

RegEx for QRadar SIEM
EN

Stack Overflow用户
提问于 2017-01-10 05:50:41
回答 2查看 4.1K关注 0票数 0

我需要为QRadar SIEM创建一个涉及正则表达式的自定义属性。寻找与组Security IDAccount Name匹配的最佳方法,该组当前填充了IT-TESTGRP帐户。目标是提取在Group下找到的任何帐户。我很难找到匹配,同时避免在Subject: & Member:中找到类似的标准。我只想要与Group:关联的帐户

<13>Jan 09 12:50 SRVDC0 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.2.4.86 Source=Microsoft security- Computer=SRVDC0.corp.teslab.ca OriginatingComputer=SRVDC0 User= Domain= EventID=4756 EventIDCode=4756 EventType=8 EventCategory=13826 RecordNumber=1244048131 TimeGenerated=1483983229 TimeWritten=1483983229 PluginVersion=7.2.4.86#成员被添加到一个启用安全功能的通用组中。主题:安全ID: CORP\bforeman帐户名称: bforeman帐户域: CORP登录ID: 0x220f7a57成员:安全ID: CORP\jsmith帐户名: CN=jsmith\、Dan、OU=Exchange用户、DC=corp、DC=testlab、DC=ca Group:安全ID:安全ID:DC=testlab帐户域:IT-TESTGRP帐户域:额外信息:特权:

java
regex
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2017-01-10 06:00:54

一种方法是匹配group: Security ID,如下所示:

代码语言:javascript
复制
    Pattern p = Pattern.compile("Group: Security ID: (\\w+)\\\\([^ ]+) Account Name: ([^ ]+) Account Domain: \\1");
Matcher m = p.matcher("Jan 09 12:33:50 SRVDC0 AgentDevice=WindowsLog AgentLogFile=Security PluginVersion=7.2.4.86 Source=Microsoft-Windows-Security-Auditing Computer=SRVDC0.corp.teslab.ca OriginatingComputer=SRVDC0 User= Domain= EventID=4756 EventIDCode=4756 EventType=8 EventCategory=13826 RecordNumber=1244048131 TimeGenerated=1483983229 TimeWritten=1483983229 Level=0 Keywords=0 Task=0 Opcode=0 Message=A member was added to a security-enabled universal group. Subject: Security ID: CORPbforeman Account Name: bforeman Account Domain: CORP Logon ID: 0x220f7a57 Member: Security ID: CORP\\jsmith Account Name: CN=jsmith, Dan,OU=Exchange Users,DC=corp,DC=testlab,DC=ca Group: Security ID: CORP\\IT-TESTGRP Account Name: IT-TESTGRP Account Domain: CORP Additional Information: Privileges:");

while(m.find()){
 System.out.println("domain: "+m.group(1) +", security id: "+m.group(2)+", account Name: "+m.group(3)); 
}

回传

代码语言:javascript
复制
domain: CORP, security id: IT-TESTGRP, account Name: IT-TESTGRP

为了在安全ID之前去掉组,只需匹配反斜杠前面的单词,然后确保该单词与使用反向引用的Account域字符串匹配。

票数 0
EN

Stack Overflow用户

发布于 2017-01-23 16:09:37

我想出来了-- Group:\s+Security\s+ID:\s+.*?\\([^ ]+) --这是我的用例https://regex101.com/r/5gw5EO/1

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/41561975

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档