Extraktoren
Last updated
Last updated
Extraktoren spielen eine entscheidende Rolle in der Architektur eines SIEMs. Ihre Hauptaufgabe besteht darin, Informationen aus vielfältigen Datenquellen zu erfassen, diese zu standardisieren und in eine strukturierte Form zu bringen, um eine effiziente Sicherheitsüberwachung und -analyse zu ermöglichen. Dabei bieten Extraktoren eine breite Palette von Vorteilen, angefangen bei der Erkennung möglicher Sicherheitsgefahren bis hin zur Unterstützung bei der Einhaltung von Compliance-Anforderungen.
Erfahren Sie in unserem Use Case: Erweiterte Erkennung Ihres SIEMs, wie Sie eigene Extraktoren anlegen und somit die Erkennung Ihres SIEMs erweitern. Klicken Sie sich jetzt durch unsere interaktive Demo.
Gehen Sie auf "Extraktor hinzufügen". Vergeben Sie nun einen aussagekräftigen Namen und beschreiben Sie kurz, was dieser beinhaltet. Verwenden Sie die Schaltfläche "Matcher hinzufügen", um das Feld zu definieren, aus dem die gewünschten Informationen extrahiert werden sollen.
Wählen Sie im Abschnitt "Quellfeldname" das für Ihre Zwecke relevante Feld aus. Geben Sie unter "Bedingung (Regex)" einen wiederkehrenden String ein, welcher sich in allen Logs des gleichen Typs wiederfinden lässt. Im Abschnitt "Pattern (Regex)" geben Sie den Teil des Protokolls an, aus dem Sie die Informationen extrahieren möchten. Hierbei können Sie die bereitgestellten regulären Ausdrücke auf der rechten Seite verwenden.
Sie können auch dieselbe Information wie im Abschnitt "Pattern" im Abschnitt "Condition" angeben. Beachten Sie jedoch, dass dies in den meisten Fällen zusätzliche CPU-Ressourcen erfordert.
Sobald ein Ausdruck gematcht wurde öffnet sich eine Capturing Group, in welcher Sie nun angeben können, welchem Standardfeld der extrahierte Wert oder Ausdruck zugeordnet werden soll. Haben Sie den Extraktor einmal hinzugefügt werden allen Logs die dem festgelegten Muster entsprechen, dem definierten Standardfeld hinzugefügt und der als zugehörig definierte Wert darin abgebildet.
