Lookups

Verwenden Sie die IBM Security QRadar Lookups Content Extension zur genauen Überwachung Ihrer Lookups-Bereitstellung.

Wichtig: Um Inhaltsfehler in dieser Inhaltserweiterung zu vermeiden, halten Sie die zugehörigen DSMs auf dem neuesten Stand. DSMs werden im Rahmen der automatischen Aktualisierungen aktualisiert. Wenn keine automatischen Updates aktiviert sind, laden Sie die neueste Version der zugehörigen DSMs von IBM® Fix Central (https://www.ibm.com/support/fixcentral) herunter.

IBM Sicherheits QRadar -Lookups Inhaltserweiterung V1.0.1

Interne Änderungen ohne Auswirkungen auf den Benutzer.

(Zurück nach oben)

IBM Sicherheits QRadar -Lookups Inhaltserweiterung V1.0.0

In der folgenden Tabelle sind die angepassten Funktionen aufgeführt, die in IBM Security QRadar Lookups Content Extension V1.0.0neu sind oder aktualisiert wurden.

Tabelle 1. Benutzerdefinierte Funktionen in IBM Security QRadar Lookups Content Extension V1.0.0
Ihren Namen Beschreibung
LOOKUPS::CONTAINS( <URL>, <VALUE>, <HTTP HEADERS> )

Gibt TRUE zurück, wenn VALUE in der Datenstruktur enthalten ist, die sich an der angegebenen URL befindet. Unterstützt eine unverschlüsselte Textdatei oder eine JSON-Datei, die einen Array enthält. Bei HTTP HEADERS handelt es sich um eine JSON-Struktur, die bei Bedarf Authentifizierungsinformationen oder andere Header einreicht.

URL
Eine vollständig qualifizierte URL, die auf die Ressource verweist, die in der Suche geladen werden soll. URL muss für QRadar und für alle QRadar und -Flussprozessoren zugänglich sein.
Die Antwort der URL-Abfrage wird als Textdatei behandelt. Jede Zeile in der Antwort wird als Wert in der Suche geladen.
Beispiel: https://192.0.2.0/md5_blocklist.txt
WERT
Der Wert, der in der Suche gesucht werden soll. In den meisten Fällen handelt es sich beim Wert um eine Eigenschaft eines Ereignisses oder eines Datenflusses.
Beispiel: File_Hash
HTTP HEADERS
Eine Zeichenfolge, die JSON-Schlüssel/Wert-Paare enthält. Jedes Schlüssel/Wert-Paar wird als HTTP-Header an die Anforderung angehängt, die die Suche abruft, damit Sie Informationen wie beispielsweise Authentifizierungsnachweise übergeben können.
Beispiel: ‘{“Authorization”:”abcde-abcde-abcde-abcde-abcde”}’

Beispiel:

SELECT sourceIP, destinationIP, username, File_Hash
FROM events
WHERE LOOKUPS::CONTAINS(‘https://192.0.2.0/md5_blocklist.txt’, File_Hash, 
‘{“Authorization”:”abcde-abcde-abcde-abcde-abcde”}’
LOOKUPS::MATCH( <URL>, <VALUE>, <HTTP HEADERS> )

Gibt den regulären Ausdruck zurück, der übereinstimmt, wenn VALUE mit einem der regulären Ausdrücke in der Datenstruktur übereinstimmt, die sich an der angegebenen URL befindet. Unterstützt entweder eine Klartextdatei oder QRadar. Bei HTTP HEADERS handelt es sich um eine JSON-Struktur, die bei Bedarf Authentifizierungsinformationen oder andere Header einreicht.

URL
Eine vollständig qualifizierte URL, die auf die Ressource verweist, die getestet werden soll. URL muss für QRadar und für alle QRadar und -Flussprozessoren zugänglich sein.
Die Antwort der URL-Abfrage kann eines der folgenden Formate haben:
  • Eine unverschlüsselte Textdatei. Jede Zeile in der Antwort wird als regulärer Ausdruck in der Suche geladen.
  • Eine JSON-Datei, die einen einzelnen Listeneintrag enthält. Jeder Eintrag in der Liste wird als regulärer Ausdruck in der Suche geladen.
  • URL, die auf QRadar verweist. Jeder Eintrag im Referenzset wird als regulärer Ausdruck in der Suche geladen.
Beispiel: https://example.com/api/reference_data/sets/url_blocklist
WERT
Der Wert, der nach Übereinstimmungen mit dem regulären Ausdruck in der Suche sucht. In den meisten Fällen handelt es sich beim Wert um eine Eigenschaft eines Ereignisses oder eines Datenflusses.
Beispiel: URL
HTTP HEADERS
Eine Zeichenfolge, die JSON-Schlüssel/Wert-Paare enthält. Jedes Schlüssel/Wert-Paar wird als HTTP-Header an die Anforderung angehängt, die die Suche abruft, in der Informationen wie Authentifizierungsnachweise übergeben werden.
Beispiel: ‘{“SEC”:”abcde-abcde-abcde-abcde-abcde”}’

Beispiel:

SELECT sourceIP, destinationIP, username, File_Hash
FROM events
WHERE LOOKUPS::MATCH(‘https://example.com/api/reference_data/sets/url_blocklist’, 
URL, ‘{“SEC”:”abcde-abcde-abcde-abcde-abcde”}’)
IS NOT NULL
LOOKUPS::CIDRLIST( <URL>, <VALUE>, <HTTP HEADERS> )

Gibt die übereinstimmende CIDR (Classless Inter-Domain Routing) zurück, wenn VALUE mit einem der CIDR-Ausdrücke in der Datenstruktur übereinstimmt, die sich an der angegebenen URL befindet. Unterstützt entweder eine Klartextdatei oder QRadar. Bei HTTP HEADERS handelt es sich um eine JSON-Struktur, die bei Bedarf Authentifizierungsinformationen oder andere Header einreicht.

URL
Eine vollständig qualifizierte URL, die auf die Ressource verweist, die getestet werden soll. URL muss für QRadar und für alle QRadar und -Flussprozessoren zugänglich sein.
Die Antwort der URL-Abfrage kann eines der folgenden Formate haben:
  • Eine unverschlüsselte Textdatei. Jede Zeile in der Antwort wird als CIDR-Ausdruck in der Suche geladen.
  • Eine JSON-Datei, die einen einzelnen Listeneintrag enthält. Jeder Eintrag in der Liste wird als CIDR-Ausdruck in der Suche geladen.
  • Eine URL, die auf die API für das QRadar-Referenzset verweist. Jeder Eintrag im Referenzset wird als CIDR-Ausdruck in der Suche geladen.
Beispiel: https://example.com/api/reference_data/sets/cidr_blocklist
WERT
Der Wert, der nach Übereinstimmungen mit dem CIDR-Ausdruck in der Suche sucht. In den meisten Fällen handelt es sich bei dem Wert um eine Eigenschaft eines Ereignisses oder eines Datenflusses, die in eine IP-Adresse aufgelöst wird.
Beispiel: sourceIP
HTTP HEADERS
Eine Zeichenfolge, die JSON-Schlüssel/Wert-Paare enthält. Jedes Schlüssel/Wert-Paar wird als HTTP-Header an die Anforderung angehängt, die die Suche abruft, in der Informationen wie Authentifizierungsnachweise übergeben werden.
Beispiel: ‘{“SEC”:”abcde-abcde-abcde-abcde-abcde”}’

Beispiel:

SELECT sourceIP, destinationIP, username, File_Hash
FROM events
WHERE LOOKUPS::CIDRLIST(‘https://example.com/api/reference_data/sets 
/cidr_blocklist’, sourceIP, ‘{“SEC”:”abcde-abcde-abcde-abcde-abcde”}’)
IS NOT NULL
LOOKUPS::MATCH_CSV( <URL>, <INDEX>, <VALUE>, <HTTP HEADERS> )

Gibt den übereinstimmenden Ausdruck zurück, wenn VALUE mit einem der regulären Ausdrücke in der Spalte übereinstimmt, auf die durch INDEX in der CSV an der URL verwiesen wird. Unterstützt eine CSV-Datei mit Spalten, von denen eine ein regulärer Ausdruck ist. Bei HTTP HEADERS handelt es sich um eine JSON-Struktur, mit der bei Bedarf Authentifizierungsinformationen oder andere Header eingereicht werden können.

URL
Eine vollständig qualifizierte URL, die auf die Ressource verweist, die in der Suche geladen werden soll. URL muss für QRadar und für alle QRadar und -Flussprozessoren zugänglich sein.
Die Antwort der URL-Abfrage muss eine CSV-Datei sein. Das Feld INDEX in jeder Zeile wird als regulärer Ausdruck in der Suche geladen.
Beispiel: https://192.0.2.0/blocklist.csv
INDEX
Die Feldnummer in jeder Zeile, die in der Suche geladen werden sollte.
Beispiel: 2
WERT
Der Wert, der in der Suche gesucht werden soll. In den meisten Fällen handelt es sich beim Wert um eine Eigenschaft eines Ereignisses oder eines Datenflusses.
Beispiel: File_Hash
HTTP HEADERS
Eine Zeichenfolge, die JSON-Schlüssel/Wert-Paare enthält. Jedes Schlüssel/Wert-Paar wird als HTTP-Header an die Anforderung angehängt, die die Suche abruft, in der Informationen wie Authentifizierungsnachweise übergeben werden.
Beispiel: ‘{“Authorization”:”abcde-abcde-abcde-abcde-abcde”}’

Beispiel:

SELECT sourceIP, destinationIP, username, File_Hash
FROM events
WHERE LOOKUPS::MATCH_CSV(‘http://192.0.2.0/blocklist.csv’, 2, userName, 
‘{“Authorization”:”abcde-abcde-abcde-abcde-abcde”}’)
IS NOT NULL

(Zurück nach oben)