related to IssueID #2540 - renames and adds some tags for compliance …

…with WLB's EventLog over SNMP normalization

normalizers/snare.xml

@@ -100,6 +100,12 @@
       <regexp>[0-9a-fA-F]{32}</regexp>
     </tagType>
   </tagTypes>
+  <callbacks>
+    <callback name="add_technet_link">
+url = "http://www.microsoft.com/technet/support/ee/SearchResults.aspx?Type=0&amp;Message="
+log['technet_link'] = url + str(value)
+    </callback>
+  </callbacks>
   <patterns>
     <pattern name="Snare-001">
       <description>
@@ -149,6 +155,9 @@
 	    <localized_desc language="fr">ID de l'évènement Windows.</localized_desc>
 	  </description>
 	  <substitute>EVENT_ID</substitute>
+	  <callbacks>
+	    <callback>add_technet_link</callback>
+	  </callbacks>
 	</tag>
 	<tag name="event_log_expanded_source_name" tagType="event_log_source">
 	  <description>
@@ -171,7 +180,7 @@
 	  </description>
 	  <substitute>SID_TYPE</substitute>
 	</tag>
-	<tag name="event_log_type" tagType="event_log_type">
+	<tag name="event_type" tagType="event_log_type">
 	  <description>
 	    <localized_desc language="en">This can be anyone of 'Success Audit', 'Failure Audit', 'Error', 'Information', 'Warning'.</localized_desc>
 	    <localized_desc language="fr">Peut être un des suivants: 'Success Audit', 'Failure Audit', 'Error', 'Information', 'Warning'.</localized_desc>
@@ -219,7 +228,7 @@
 	    <expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
 	    <expectedTag name="user">WORKGROUP\CLO-PC$</expectedTag>
 	    <expectedTag name="sid_used">N/A</expectedTag>
-	    <expectedTag name="event_log_type">Success Audit</expectedTag>
+	    <expectedTag name="event_type">Success Audit</expectedTag>
 	    <expectedTag name="source_host">clo-PC</expectedTag>
 	    <expectedTag name="audit_event_category">Création du processus</expectedTag>
 	    <expectedTag name="body">Un nouveau processus a été créé. Sujet : ID de sécurité : S-1-5-18 Nom du compte : CLO-PC$ Domaine du compte : WORKGROUP ID d’ouverture de session : 0x3e7 Informations sur le processus : ID du nouveau processus : 0x654 Nom du nouveau processus : C:\Windows\servicing\TrustedInstaller.exe Type d’élévation du jeton : Type d’élévation de jeton par défaut (1) ID du processus créateur : 0x1c8 Le type d’élévation du jeton indique le type de jeton qui a été attribué au nouveau processus conformément à la stratégie de contrôle du compte d’utilisateur. Le type 1 est un jeton complet sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton complet est uniquement utilisé si le contrôle du compte d’utilisateur est désactivé, ou si l’utilisateur est le compte d’administrateur intégré ou un compte de service. Le type 2 est un jeton aux droits élevés sans aucun privilège supprimé ni aucun groupe désactivé. Un jeton aux droits élevés est utilisé lorsque le contrôle de compte d’utilisateur est activé et que l’utilisateur choisit de démarrer le programme en tant qu’administrateur. Un jeton aux droits élevés est également utilisé lorsqu’une application est configurée pour toujours exiger un privilège administratif ou pour toujours exiger les privilèges maximum, et que l’utilisateur est membre du groupe Administrateurs. Le type 3 est un jeton limité dont les privilèges administratifs sont supprimés et les groupes administratifs désactivés. Le jeton limité est utilisé lorsque le contrôle de compte d’ utilisateur est activé, que l’application n’exige pas le privilège administratif et que l’utilisateur ne choisit pas de démarrer le programme en tant qu’administrateur.	133</expectedTag>
@@ -236,7 +245,7 @@
 	    <expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
 	    <expectedTag name="user">AUTORITE NT\SERVICE LOCAL</expectedTag>
 	    <expectedTag name="sid_used">N/A</expectedTag>
-	    <expectedTag name="event_log_type">Success Audit</expectedTag>
+	    <expectedTag name="event_type">Success Audit</expectedTag>
 	    <expectedTag name="source_host">a-zA-Z0-9_</expectedTag>
 	    <expectedTag name="audit_event_category">Fin du processus</expectedTag>
 	    <expectedTag name="body">Un processus est terminé. Sujet : ID de sécurité : S-1-5-19 Nom du compte : SERVICE LOCAL Domaine du compte : AUTORITE NT ID d’ouverture de session : 0x3e5 Informations sur le processus : ID du processus : 0xdf4 Nom du processus : C:\Windows\System32\taskhost.exe État de fin : 0x0	189</expectedTag>
@@ -253,13 +262,16 @@
 	    <expectedTag name="event_log_expanded_source_name">Microsoft-Windows-Security-Auditing</expectedTag>
 	    <expectedTag name="user">clo</expectedTag>
 	    <expectedTag name="sid_used">N/A</expectedTag>
-	    <expectedTag name="event_log_type">Failure Audit</expectedTag>
+	    <expectedTag name="event_type">Failure Audit</expectedTag>
 	    <expectedTag name="source_host">clo-vbox-win-7</expectedTag>
 	    <expectedTag name="audit_event_category">Validation des informations d’identification</expectedTag>
 	    <expectedTag name="body">L’ordinateur a tenté de valider les informations d’identification d’un compte. Package d’authentification : MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Compte d’ouverture de session : clo Station de travail source : CLO-VBOX-WIN-7 Code d’erreur : 0xc000006e	77</expectedTag>
 	  </expectedTags>
 	</example>
       </examples>
     </pattern>
-  </patterns>  
+  </patterns>
+  <commonTags>
+    <commonTag name="program">EventLog</commonTag>
+    </commonTags>
 </normalizer>

tests/test_log_samples.py

@@ -491,9 +491,10 @@ def test_Snare(self):
                  'event_log_expanded_source_name': 'Virtual Disk Service',
                  'user': 'Constantin',
                  'sid_used': 'N/A',
-                 'event_log_type': 'Information',
+                 'event_type': 'Information',
                  'source_host': 'a-zA-Z0-9_',
                  'audit_event_category': 'None',
+                 'program' : 'EventLog',
                  'body': unicode('Le service s’est arrêté.	119', 'utf8')})
 
 	self.aS(unicode("""<13> Aug 31 15:46:47 a-zA-Z0-9_ MSWinEventLog	0	Security	284	ven. août 26 16:42:01 201	4689	Microsoft-Windows-Security-Auditing	A-ZA-Z0-9_\\clo	N/A	Success Audit	a-zA-Z0-9_	Fin du processus	 Un processus est terminé. Sujet : ID de sécurité : S-1-5-21-2423214773-420032381-3839276281-1000 Nom du compte : clo Domaine du compte : A-ZA-Z0-9_ ID d’ouverture de session : 0x21211 Informations sur le processus : ID du processus : 0xb4c Nom du processus : C:\\Windows\\System32\\taskeng.exe État de fin : 0x0	138 """, 'utf8'),
@@ -505,9 +506,10 @@ def test_Snare(self):
                  'event_log_expanded_source_name': 'Microsoft-Windows-Security-Auditing',
                  'user': 'A-ZA-Z0-9_\\clo',
                  'sid_used': 'N/A',
-                 'event_log_type': 'Success Audit',
+                 'event_type': 'Success Audit',
                  'source_host': 'a-zA-Z0-9_',
                  'audit_event_category': 'Fin du processus',
+                 'program' : "EventLog",
                  'body': unicode('Un processus est terminé. Sujet : ID de sécurité : S-1-5-21-2423214773-420032381-3839276281-1000 Nom du compte : clo Domaine du compte : A-ZA-Z0-9_ ID d’ouverture de session : 0x21211 Informations sur le processus : ID du processus : 0xb4c Nom du processus : C:\\Windows\\System32\\taskeng.exe État de fin : 0x0	138', 'utf8')})
 
 #	self.aS(unicode("""clo-vbox-win-7 MSWinEventLog	0	Security	201	mer. août 31 15:46:45 201	4689	Microsoft-Windows-Security-Auditing	CLO-VBOX-WIN-7\clo	N/A	Success Audit	clo-vbox-win-7	Fin du processus		Un processus est terminé.    Sujet :   ID de sécurité :  S-1-5-21-2423214773-420032381-3839276281-1000   Nom du compte :  clo   Domaine du compte :  CLO-VBOX-WIN-7   ID d’ouverture de session :  0x260060    Informations sur le processus :   ID du processus : 0xb10   Nom du processus : C:\Windows\System32\SearchProtocolHost.exe   État de fin : 0x0	158 """, 'utf8'),