ENGINSIGHT
WebsiteLoginKostenloser Testzugang
Deutsch
Deutsch
  • Überblick
  • Funktionsumfang
  • Bedienung
    • Plattform Übersicht
    • Start Guide
    • Plattform
      • Dashboards
        • Schwachstellenmanagement
        • Operation Centers
        • Meine Dashboards
        • Konfigurationen
      • Issues
      • Hosts (Pulsar-Agent)
        • Pulsar-Agent
        • Hostdetails
        • Policy Manager
        • Softwareinventar
        • Intrusion Detection System
        • File Integrity Monitoring
        • Systemevents
        • Update Manager
        • Plugins
        • Machine Learning
      • Host (Pulsar-Agent) BETA
        • Pulsar-Agent
        • Hostdetails
        • Softwareinventar
        • Policies
        • Plugins
        • Globale Tags
        • Tag Manager
        • Systemevents
        • Schwachstellen Manager
        • Compliance
        • Intrusion Detection System
        • File Integrity Monitoring
        • Advanced Persistent Threats
      • Endpunkte (Observer)
        • Endpunktdetails
        • Domains
        • Zertifikatsmanager
        • Observer
      • Observations
      • Shield
      • Penetrationstests (Hacktor)
        • Pentest durchführen
        • Audits
        • Audit Definitionen
        • Zielsysteme
        • Auth-Providers
        • Hacktor
        • Custom Scripts
      • Discoveries
      • SIEM
        • Data Lake
        • Cockpits
        • Obfuskatoren
        • Workflows
        • Ereignisse
        • Extraktoren
        • Kollektoren
        • Loggernaut
        • Erweiterte Einstellungen
        • KI-Modelle
      • Alarme
      • Einstellungen
      • Organisationen
      • Tags
      • Searchbar
  • On-Premises
    • Anforderungen
    • Installation
      • Automatische Installation
      • Manuelle Installation
      • Load Balancing
      • SIEM
      • Deinstallation
    • Update
    • Konfiguration
      • HTTPS und Zertifikate
      • Lizenzen und Organisationen
      • Mailserver
      • 2-Faktor-Authentifizierung
      • SSO via Office 365
      • Speicherzeiten
      • White Label
      • NGINX Extraktor
      • Field Level Encryption
      • Loggernaut-Konfigurationen
  • Technische Details
    • Systemanforderungen
      • Pulsar: Betriebssysteme
    • Aktuelle Versionsnummern
    • Pentest Vektoren
    • API
  • Partnerbereich
    • Lizenzen und Organisationen
Powered by GitBook
On this page

Was this helpful?

  1. Bedienung
  2. Plattform
  3. SIEM

Extraktoren

PreviousEreignisseNextKollektoren

Last updated 9 days ago

Was this helpful?

Extraktoren spielen eine entscheidende Rolle in der Architektur eines SIEMs. Ihre Hauptaufgabe besteht darin, Informationen aus vielfältigen Datenquellen zu erfassen, diese zu standardisieren und in eine strukturierte Form zu bringen, um eine effiziente Sicherheitsüberwachung und -analyse zu ermöglichen. Dabei bieten Extraktoren eine breite Palette von Vorteilen, angefangen bei der Erkennung möglicher Sicherheitsgefahren bis hin zur Unterstützung bei der Einhaltung von Compliance-Anforderungen.

Erfahren Sie in unserem Use Case: , wie Sie eigene Extraktoren anlegen und somit die Erkennung Ihres SIEMs erweitern. Klicken Sie sich jetzt durch unsere interaktive Demo.

Extraktoren hinzufügen

Gehen Sie auf "Extraktor hinzufügen". Vergeben Sie nun einen aussagekräftigen Namen und beschreiben Sie kurz, was dieser beinhaltet. Verwenden Sie die Schaltfläche "Matcher hinzufügen", um das Feld zu definieren, aus dem die gewünschten Informationen extrahiert werden sollen.

Wählen Sie im Abschnitt "Quellfeldname" das für Ihre Zwecke relevante Feld aus. Geben Sie unter "Bedingung (Regex)" einen wiederkehrenden String ein, welcher sich in allen Logs des gleichen Typs wiederfinden lässt. Im Abschnitt "Pattern (Regex)" geben Sie den Teil des Protokolls an, aus dem Sie die Informationen extrahieren möchten. Hierbei können Sie die bereitgestellten regulären Ausdrücke auf der rechten Seite verwenden.

Sie können auch dieselbe Information wie im Abschnitt "Pattern" im Abschnitt "Condition" angeben. Beachten Sie jedoch, dass dies in den meisten Fällen zusätzliche CPU-Ressourcen erfordert.

Sobald ein Ausdruck gematcht wurde öffnet sich eine Capturing Group, in welcher Sie nun angeben können, welchem Standardfeld der extrahierte Wert oder Ausdruck zugeordnet werden soll. Haben Sie den Extraktor einmal hinzugefügt werden allen Logs die dem festgelegten Muster entsprechen, dem definierten Standardfeld hinzugefügt und der als zugehörig definierte Wert darin abgebildet.

Erweiterte Erkennung Ihres SIEMs