正则表达式

介绍检测条件中的正则表达式及其相关知识。

检测条件介绍

正则表达式是指一种可用于匹配多个字符串和文字搭配组合的模板,或常用的固定表达形式。

假设有这样一条简单的正则表达式:baidu.(com|org|net)

这个正则表达式可以匹配以下的URL。

  • baidu.com
  • baidu.org
  • baidu.net

需谨慎使用正则表达式。 正则在匹配内容中效果突出,但是需要良好的设计。缺乏良好设计的正则表达式可能导致大量漏报,大量错报,以及系统资源占用过高。将正则表达式应用为策略匹配条件可能会增加内存占用。

如需了解更多关于正则的信息,请参考以下外部链接。

统一内容安全UCS解决方案支持对内容中的正则表达式进行检测,通过在企业安全策略中定义常用安全的正则和期望排除的正则,安全管理员可定义正则表达式检测,即按照请求中包含的正则进行检测。

用正则表达式模型描述要保护的数据,分为预定义和自定义正则表达式,并支持在所有策略中复用。

正则表达式最多可设置1000条。
注:
  • 使用中的正则表达式和预置正则表达式不可被删除,删除时会提示报错。
  • 预置正则默认不显示,预置的正则表达式默认排序位于自定义正则表达式之后。

应用检测条件

在策略配置页面,点击添加匹配添加例外,选择正则表达式,可应用正则表达式检测条件。

注: 多条正则表达式规则时,匹配一条即为命中策略。

正则表达式检测条件可配置以下项目。

  • 必现 - 选择该规则是否为必现。即如需触发策略,该规则必须命中,然后再检测其它规则。

    例如:“员工信息”策略包含多个规则,中国手机号码、中国大陆二代身份证、普通证书和合同。其中,大陆身份证号(二代)和合同两项规则设置为必现,则必须匹配大陆身份证号(二代)和合同规则,方可触发安全策略。

  • 正则表达式 - 点击 ,从弹出的列表中选择策略中引用的正则表达式。

    如需了解预置正则表达式的更多信息,参考预置数据模板

    启用脱敏数据 - 选择是否启用脱敏数据,启用后,匹配信息部分数据将以*代替,并在事件、报告和通知中展示。匹配详情及证据显示将对敏感数据信息增加干扰,不能查看脱敏数据。

  • 匹配条件 - 可选择以下匹配条件。
    配置项 解释
    最少匹配 填写最小匹配阈值,当分析内容匹配次数达到阈值,才会命中策略。勾选统计重复内容,重复的内容会被记录为多次。
    不匹配 当分析内容与关键字不同的时候,会命中策略。
    统计重复内容 关键字匹配记录统计重复次数。如果不选择此项,每个关键字最大匹配次数为1。
  • HTTP匹配属性 - 选择全部内容则匹配包括HTTP Body和HTTP Header的所有内容。 选择指定内容则可以指定匹配Body或者header。
  • Email匹配属性 - 可配置以下Email匹配属性。
    匹配 介绍
    全部内容 检测Email所有属性,包含信封(收件人地址)、首部(用户代理或者邮件服务器添加的信息,如Received、Message-ID、From、Data、Reply-To、X-Phone、X-Mailer、To和Subject)、正文(发送方发给接收方的内容,如body、attachment)。
    指定内容 指定Email检测属性,可选择正文、附件、主题、收件人、发件人、抄送接收方、密送接收方、所有邮件头或自定义邮件头。
  • 文档匹配位置 - 选择文档匹配的位置,包括文件名,页眉,正文,页脚和MetaInfo。
    注: 文档匹配位置检测仅适用于包含此类可用于文档匹配的位置属性的文件,如Word、Excel、PPT等Office类型文件。

    文件名包含邮件等包含附件的内容中,附件的文件名。

    Metainfo(默认不选中)选项用于匹配文件的Meta元数据内容。

  • 同时匹配 - 点击为同一规则设置多个其他的同时匹配例外的内容。也可以忽略同时匹配,仅使用单一的匹配例外条件。