В поддержку обратитесь. Вроде бы сталкивались уже с таким

Спасибо!

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part1/ not bad;)

Добрый день, можете подсказать, почему не работает формула нормализации или показать схожий пример? Задумка вытащить текст из различных тегов. #2019-09-03T20:24:58.000Z - - <tag1><tag2>text1</tag2><tag3>text2</tag3><tag4>text3</tag4><tag5>text4</tag5><tag6>text5</tag6></tag1>

TEXT = '{time=DATETIME}{LITERAL}{LITERAL}{$f=REST}'

submessage("XML","Event_tag1",$f)
subformula "Event_tag1"
   XML = 'tag1'
 tag1field1 = $tag1["tag2"][0]
 tag1field2 = $tag1["tag3"][0]
 tag1field3 = $tag1["tag4"][0]
 tag1field4 = $tag1["tag5"][0]
 tag1field5 = $tag1["tag6"][0]
endsubformula

id = "PT_xml_test"

tag1field1

вот этого нет в таксономии

#2019-10-03T22:24:58.000Z - - <tag1><tag2>text1</tag2><tag3>text2</tag3><tag4>text3</tag4><tag5>text4</tag5><tag6>text5</tag6></tag1>

TEXT = '{time=DATETIME}{LITERAL}{LITERAL}{$f=REST}'

submessage("XML","Event_tag1",$f)
subformula "Event_tag1"
   XML = 'tag1'
 datafield1 = $tag1["tag2"][0]
 datafield2 = $tag1["tag3"][0]
 datafield3 = $tag1["tag4"][0]
 datafield4 = $tag1["tag5"][0]
 datafield5 = $tag1["tag6"][0]
endsubformula

id = "PT_xml_test" так тоже не работает, может я неправильно понимаю логику парсинга XML

эм я убрал ваши литерал

и у меня все работает

скрин выше

PS. если там именно "- - ", а не что-то другое, то лучше так и писать формулу, чтобы не увеличивать вероятность конфликта с другими оходими источниками.

все норм Тимур, пиши в формуле как я - -. Если у тебя там ничего другого не ожидается

а в какой программе вы это проверяете? я использую отладчики sdk: xp.exe, normalizer-cli.exe, может в этом проблема

Sdkgui, полистайте в чате. У вас какая версия siem?

21ая

GUI 21.0 - https://storage.ptsecurity.com/f/40945498dbd2478d9678/?dl=1

👍

спасибо