当前位置：首页 > news >正文

DeepBlueCLI高级配置：自定义正则表达式与安全名单优化

news 2026/4/18 9:08:38

DeepBlueCLI高级配置：自定义正则表达式与安全名单优化

【免费下载链接】DeepBlueCLI项目地址: https://gitcode.com/gh_mirrors/de/DeepBlueCLI

DeepBlueCLI是一款功能强大的事件日志分析工具，能够帮助安全分析师快速识别系统中的可疑活动。通过自定义正则表达式和优化安全名单，你可以显著提升工具的检测准确性，减少误报并聚焦真正的威胁。本文将详细介绍如何进行这些高级配置，让你的日志分析效率更上一层楼。

正则表达式配置基础

正则表达式是DeepBlueCLI检测恶意活动的核心机制。默认的规则文件regexes.txt已经包含了大量预设模式，但根据实际需求定制规则能让检测更精准。

规则文件结构解析

DeepBlueCLI的正则表达式规则文件采用CSV格式，每行定义一个检测规则。打开项目根目录下的regexes.txt，你会看到类似以下的结构：

# DeepBlueCLI command regex CSV file # Include only regex CSV entries or comments beginning with "#" # # Format: Match type, regex, output string # Match types: # 0: Image Path - regex # 1: Service Name - regex # Type,regex,string 0,^cmd.exe /c echo [a-z]{6} > \\\\.\\pipe\\[a-z]{6}$,Metasploit-style cmd with pipe (possible use of Meterpreter 'getsystem')

每个规则包含三个部分：

匹配类型：0表示镜像路径检测，1表示服务名称检测
正则表达式：用于匹配可疑模式的正则表达式
输出字符串：检测到匹配时显示的描述信息

添加自定义检测规则

假设你需要检测特定的PowerShell编码命令，可以添加如下规则：

0,powershell.*-EncodedCommand.*[A-Za-z0-9+/]{500,},Potential PowerShell encoded command with long payload

这条规则会匹配包含超长Base64编码 payload的PowerShell命令，有助于发现使用编码技术隐藏的恶意脚本。

安全名单优化策略

安全名单（Safelist）用于排除已知的良性活动，减少误报。DeepBlueCLI提供了两种安全名单：基础安全名单和哈希安全名单。

基础安全名单配置

基础安全名单文件safelist.txt位于项目根目录，用于排除特定的进程路径或命令行模式。例如，以下条目排除了Google Chrome的正常启动路径：

^"C:\\Program Files\\Google\\Chrome\\Application\\chrome\.exe"

你可以根据环境中的可信应用程序添加更多排除规则。添加时需注意：

使用正则表达式语法
每行一个规则
以#开头的行为注释

哈希安全名单配置

哈希安全名单位于safelists/win10-x64.csv，通过文件哈希值排除已知安全的系统文件。该文件包含MD5、SHA1、SHA256三种哈希类型和对应的文件路径：

md5,sha1,sha256,path a88c62f9305f93186fc646c8f0205751,d6315f8862e094b5e052b38ac5a4c7c3056a6faa,ede8cd7b76a0008b7657533bdfca7dfd1828cedfc767b4b173ac14fbe4845df9,C:\Program Files\Common Files\microsoft shared\ink\FlickLearningWizard.exe

要添加新的安全文件哈希，只需按照相同格式追加一行即可。建议定期更新此文件以包含系统更新后的新文件哈希。