Splunk Search

Which regex code will help pull out the xml fields?

sphc
Explorer

Everything repeats from VULN to VULN

It is necessary to pull out the Number of VULN, severity, cveid, CVSS_BASE, CONSEQUNCE

<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
<TITLE>   Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>
<VULN number="MP-412825" severity="5" cveid="CVE-2011-1987">
<TITLE>         Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412827" severity="5" cveid="CVE-2011-1988">
<TITLE>       Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412828" severity="5" cveid="CVE-2011-1989">
<TITLE>      Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412829" severity="5" cveid="CVE-2011-1990">
<TITLE>         Excel</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel и связана с ошибкой при обработке специально сформированных файлов Excel. В случае успешной эксплуатации злоумышленник получает полный контроль над системой и может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-072]]></SOLUTION></VULN>
<VULN number="MP-412879" severity="5" cveid="CVE-2011-3413">
<TITLE>      OfficeArt</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft PowerPoint и связана с обработкой специально сформированных файлов PowerPoint. Злоумышленник может воспользоваться уязвимостью, создав специальный файл, который затем может быть передан с электронным письмом в виде вложения или размещен на специально сформированном или скомпрометированном веб-сайте.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему удаленно выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-094]]></SOLUTION></VULN>
<VULN number="MP-412937" severity="5" cveid="CVE-2012-0183">
<TITLE> RTF-</TITLE>
<PCI_FLAG>1</PCI_FLAG>
<CVSS_BASE>9.3</CVSS_BASE>
<CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
<CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Office и связана с обработкой специально сформированных данных в формате Rich Text Format (RTF). Эксплуатация данной уязвимости позволяет злоумышленнику получить полный контроль над системой; после чего он может устанавливать программы, просматривать, изменять и удалять данные, а также создавать новые учетные записи с полными правами пользователя. Пользователи, права которых в системе ограничены, менее подвержены данной уязвимости, чем пользователи, работающие с правами администратора.]]></CONSEQUENCE>
<DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
<RESULT>N/A</RESULT>
<SOLUTION><![CDATA[Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms12-029]]></SOLUTION></VULN>
Tags (1)
0 Karma
1 Solution

cmerriman
Super Champion

is this in an event or are you putting this regex in your conf files?

if it is in your event, have you thought about xmlkv?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath

otherwise, i think this regex might be a step in the right direction:

\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>

View solution in original post

sbbadri
Motivator

Can you please try like below,

props.conf

[yoursourcetype]
BREAK_ONLY_BEFORE = &lt;VULN
DATETIME_CONFIG =
KV_MODE = xml
NO_BINARY_CHECK = true
category = Custom
pulldown_type = true

0 Karma

cmerriman
Super Champion

is this in an event or are you putting this regex in your conf files?

if it is in your event, have you thought about xmlkv?
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xmlkv
other options:
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Spath
http://docs.splunk.com/Documentation/SplunkCloud/6.6.1/SearchReference/Xpath

otherwise, i think this regex might be a step in the right direction:

\<VULN\snumber=\"(?<number>\S+)\"\sseverity=\"(?<severity>\d)\"\scveid=\"(?<cveid>\S+)\"\>|\<CVSS_BASE\>(?<cvss_base>\S+)\<\/CVSS_BASE\>|\<CONSEQUENCE\>(?<consequence>.*)\<\/CONSEQUENCE\>

sphc
Explorer

Thank you:)

And if And if I can make groups from

<VULN number="MP-412750" severity="5" cveid="CVE-2011-1276">
 <TITLE>   Excel</TITLE>
 <PCI_FLAG>1</PCI_FLAG>
 <CVSS_BASE>9.3</CVSS_BASE>
 <CVSS_TEMPORAL>6.9</CVSS_TEMPORAL>
 <CONSEQUENCE><![CDATA[Уязвимость, позволяющая удаленно выполнить код, существует в Microsoft Excel при обработке специально сформированных файлов Excel. В случае успешной эксплуатации данной уязвимости злоумышленник может получить полный контроль над системой и права на установку программ; просмотр, изменение или удаление данных или создание новых учетных записей с полными правами.]]></CONSEQUENCE>
 <DIAGNOSIS><![CDATA[Уязвимость позволяет атакующему выполнить произвольный код.]]></DIAGNOSIS>
 <RESULT>N/A</RESULT>
 <SOLUTION><![CDATA[Используйте рекомендации производителя:
 http://www.microsoft.com/technet/security/Bulletin/MS11-045.mspx]]></SOLUTION></VULN>

What regex fit?

PS. from <VULN number to </VULN>
Also Everything repeats ..

0 Karma
Get Updates on the Splunk Community!

What's new in Splunk Cloud Platform 9.1.2312?

Hi Splunky people! We are excited to share the newest updates in Splunk Cloud Platform 9.1.2312! Analysts can ...

What’s New in Splunk Security Essentials 3.8.0?

Splunk Security Essentials (SSE) is an app that can amplify the power of your existing Splunk Cloud Platform, ...

Let’s Get You Certified – Vegas-Style at .conf24

Are you ready to level up your Splunk game? Then, let’s get you certified live at .conf24 – our annual user ...