常规事件和数据来源(属性)
该功能仅在安装 XProtect 事件服务器后才能工作。
常规事件(属性)
组件 | 要求 |
|---|
| 名称 | 常规事件的唯一名称。名称必须在所有类型的事件中都唯一,例如用户定义事件、分析事件等。 |
| 已启用 | 常规事件默认是启用的。清除该复选框可禁用事件。 |
| 表达式 | 在分析数据包时本系统应查找的表达式。可使用以下运算符: ( ): 用来确保将相关术语作为逻辑单位一起处理。可使用它们在分析中强制执行特定的处理顺序
示例:搜索条件“(User001 OR Door053) AND Sunday”会首先处理括号中的两个术语,然后将结果与字符串的最后一部分结合。因此,系统首先查找包含术语 User001 或 Door053 的任何数据包,然后再运行结果来查看哪些数据包还包含术语 Sunday。 AND: 通过使用 AND 运算符,可指定必须包含 AND 运算符两边的术语
示例:搜索条件“User001 AND Door053 AND Sunday”只有在术语 User001、Door053 和 Sunday 均包括在表达式中时才会返回结果。仅包含其中一个或两个术语并不够。使用 AND 结合的术语越多,检索到的结果就越少。 OR: 可通过 OR 运算符指定必须包括的一个或其他术语
示例:搜索条件“"User001" OR "Door053" OR "Sunday"”会返回包含 User001、Door053 或 Sunday 的所有结果。使用 OR 结合的术语越多,检索到的结果就越多。 |
| 表达式类型 | 表示本系统在分析接收到的数据包时的特定行为。选项如下所示: - 搜索:为了使事件发生,已接收的数据包必须包含在表达式字段中指定的文本,但还可包含更多内容
示例:如果已指定接收到的数据包应包含术语 User001 和 Door053,则如果接收到的数据包包含术语User001和Door053 以及 Sunday,将会触发事件,因为所需的两个术语已包含在接收到的数据包中。 - 匹配:他内容为了使事件发生,接收到的数据包必须包含与表达式字段中指定的文本一样的内容,不得包含其
- 正则表达式:为了使事件发生,在表达式字段中指定的文本必须能够识别接收到的数据包中的特定模式
如果从搜索或匹配切换至正则表达式,表达式字段中的文本会自动翻译为正则表达式。 |
| 优先级 | 必须将优先级指定为 0(最高优先级)和 999999(最低优先级)之间的一个数字。 可能针对不同事件分析同一数据包。通过为每个事件指定优先级,可管理当已接收的软件包匹配多个事件的条件时,应触发哪个事件。 当本系统接收到 TCP 和/或 UDP 数据包时,数据包分析过程将首先分析具有最高优先级的事件。这样,就可以在数据包符合若干事件的条件时,仅触发具有最高优先级的事件。如果数据包符合几个具有相同优先级事件的条件,例如,两个事件的优先级都是 999,则系统会自动触发具有此优先级的所有事件。 |
| 检查表达式是否与事件字符串匹配 | 根据在表达式字段中输入的表达式来测试事件字符串。 |
