Психанул… Не приходя в сознание пильнул скрипт, который немного помогает понять какие типы объектов в каких полях лежат (в привязке к категории событий)
Принцип работы:
1. Перебирает все formula.xp в заданной директории.
2. В тексте формул пытается найти нужный тип объекта (ip, domain, hash, registry, path, email). В основном все работает благодаря тому, что ребята из PT в каждой формуле добавляют примеры событий.
3. Если найти удалось: Запоминает event_src.category, путь до формулы.
4. Проверяет, используются ли в этой формуле ожидаемые поля, где данный тип объекта может лежать.
5. Если тип объекта найден и в формуле используются ожидаемые поля, выводит BASE_FIELDS_FOUND. Если объект найден, но поля не используются, видимо этот тип объекта лежит в каких-то еще полях, или вовсе не нормализован. В таком случае выводит в NO_BASE_FIELDS.
6. В конце выводит статистику по тому сколько формул и в какой категории событий нашлось.
Чтоб заработало надо:
1. Сделать выгрузку нормализации от PT из PT KB
2. В начале кода поменять OBJECT_TYPE
3. Указать в FORMULAS_DIR путь до normalization-formulas\formulas из экспортированного архива.
Скрипт поставляется as-is без гарантий и доработок. Скрипт более-мене детектит ip, hash, email, отвратно детектит domain (все сводится к получению категорий, где используются поля fqdn) и еще более отвратно path.
Зачем нужен этот говнокод - чтобы меньше лопатить руками формулы.