Which regex code will help pull out the xml fields?

sphc — Wed, 11 Oct 2017 11:13:10 GMT

Everything repeats from VULN to VULN

It is necessary to pull out the Number of VULN, severity, cveid, CVSS_BASE, CONSEQUNCE

<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE>   Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
<VULN number="MP-412825" severity="5" cveid="CVE-2011-1987">
<TITLE>         Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412827" severity="5" cveid="CVE-2011-1988">
<TITLE>       Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412828" severity="5" cveid="CVE-2011-1989">
<TITLE>      Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412829" severity="5" cveid="CVE-2011-1990">
<TITLE>         Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412879" severity="5" cveid="CVE-2011-3413">
<TITLE>      OfficeArt</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft PowerPoint и связана с обработкой специально сформированных файлов PowerPoint. Злоумышленник может воспользоваться уязвимостью, создав специальный файл, который затем может быть передан с электронным письмом в виде вложения или размещен на специально сформированном или скомпрометированном веб-сайте.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-094]]></SOLUTION></VULN>
<VULN number="MP-412937" severity="5" cveid="CVE-2012-0183">
<TITLE> RTF-</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Office и связана с обработкой специально сформированных данных в формате Rich Text Format (RTF). Эксплуатация данной уязвимости позволяет злоумышленнику получить полный контроль над системой; после чего он может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, права которых в системе ограничены, менее подвержены данной уязвимости, чем пользователи, работающие с правами администратора.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms12-029]]></SOLUTION></VULN>

Re: Which regex code will help pull out the xml fields?

cmerriman — Wed, 11 Oct 2017 13:22:10 GMT

is this in an event or are you putting this regex in your conf files?

if it is in your event, have you thought about xmlkv?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath

otherwise, i think this regex might be a step in the right direction:

\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>

Re: Which regex code will help pull out the xml fields?

sbbadri — Tue, 29 Sep 2020 16:08:47 GMT

Can you please try like below,

props.conf

[yoursourcetype]
BREAK_ONLY_BEFORE = <VULN
DATETIME_CONFIG =
KV_MODE = xml
NO_BINARY_CHECK = true
category = Custom
pulldown_type = true

Re: Which regex code will help pull out the xml fields?

sphc — Fri, 13 Oct 2017 09:12:28 GMT

Thank you:)

And if And if I can make groups from

<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
 <TITLE>   Excel</TITLE>
 <PCI_FLAG>1</PCI_FLAG>
 <CVSS_BASE>9.3</CVSS_BASE>
 <CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
 <CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
 <DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
 <RESULT>N/A</RESULT>
 <SOLUTION><![CDATA[Используйте рекомендации производителя:
 http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>

What regex fit?

PS. from <VULN number to </VULN>
Also Everything repeats ..

topic Which regex code will help pull out the xml fields? in Splunk Search

Which regex code will help pull out the xml fields?

Re: Which regex code will help pull out the xml fields?

Re: Which regex code will help pull out the xml fields?

Re: Which regex code will help pull out the xml fields?