Vordefinierte LEEF-Ereignisattribute
Das Log Event Extended Format (LEEF) unterstützt verschiedene vordefinierte Ereignisattribute für die Ereignisnutzdaten.
LEEF verwendet eine bestimmte Liste mit Name/Wert-Paaren, bei denen es sich um vordefinierte LEEF-Ereignisattribute handelt. Diese Schlüssel beschreiben Felder, die für IBM® Security QRadar®identifizierbar sind. Verwenden Sie diese Schlüssel nach Möglichkeit auf Ihrer Appliance, aber Ihre Ereignisnutzdaten sind nicht durch diese Liste begrenzt. Da LEEF erweiterbar ist, können Sie den Ereignisnutzdaten für Ihre Appliance oder Anwendung weitere Schlüssel hinzufügen.
In der folgenden Tabelle werden die vordefinierten Ereignisattribute beschrieben.
| Schlüssel | Werttyp | Normalisiertes Ereignisfeld? Ja oder Nein | Beschreibung |
|---|---|---|---|
| cat | Zeichenfolge | Ja | Eine Abkürzung für Ereigniskategorie wird verwendet, um das Feld EventID mit spezifischeren Informationen zum LEEF-Ereignis zu erweitern, das an QRadarweitergeleitet wird. Cat und das Feld EventID im LEEF-Header helfen Ihnen, Ihr Appliance-Ereignis einem QRadar Identifier -Mapeintrag (QID) zuzuordnen. Die Ereignis-ID (EventID) stellt die erste Spalte und die Kategorie die zweite Spalte der QID-Zuordnung dar. Einschränkung: Der Wert der Ereigniskategorie muss produktübergreifend, die mehrere Sprachen unterstützen, konsistent und statisch sein. Falls Ihr Produkt mehrsprachige Ereignisse unterstützt, können Sie einen numerischen Wert oder einen Textwert im
cat-Feld verwenden. Der Wert im cat-Feld darf jedoch nicht übersetzt werden, wenn die Sprache Ihrer Appliance oder Anwendung geändert wird.
|
cat (Fortgesetzt) |
Zeichenfolge | Ja | Beispiel 1: Verwenden Sie den Schlüssel cat, um die Ereignis-ID durch zusätzliche Informationen für eine nähere Beschreibung des Ereignisses zu erweitern. Wenn die Ereignis-ID als Benutzeranmeldungsereignis definiert ist, kategorisieren Sie das Ereignis mithilfe der Kategorie näher (beispielsweise 'Erfolg' oder 'fehlgeschlagene Anmeldung'). Sie können Ihre Ereignis-IDs mit dem Schlüssel cat näher definieren. Die zusätzliche Detailinformation aus dem Ereignis kann für die Unterscheidung zwischen Ereignissen verwendet werden, wenn dieselbe Ereignis-ID für ähnliche Ereignistypen verwendet wird. Beispiel: LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Failed LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Success Beispiel 2: Definieren Sie mit dem Schlüssel cat eine übergeordnete Ereigniskategorie und definieren Sie die untergeordnete Ebene mit der Ereignis-ID. Diese Situation kann wichtig sein, wenn die Ereignis-ID mit keinem Wert in der QID-Zuordnung übereinstimmt. Wenn die EventID keinem Wert in der QID-Zuordnung entspricht, kann QRadar die Kategorie und andere Schlüssel verwenden, um die allgemeine Art des Ereignisses genauer zu bestimmen. Dieses "Fallback" verhindert, dass Ereignisse als unbekannt identifiziert werden, und QRadar kann die Ereignisse basierend auf den bekannten Informationen aus den Schlüsselattributfeldern der Ereignisnutzdaten kategorisieren. Beispiel: LEEF:1.0|Microsoft|Endpoint|2015| Conficker_worm|cat=Detected |
| devTime | Datum | Ja | Die unformatierten Angaben für Ereignisdatum und -uhrzeit, die von Ihrer Appliance oder Anwendung, welche das LEEF-Ereignis bereitstellt, generiert werden. QRadar verwendet den Schlüssel devTime zusammen mit devTimeFormat , um die Ereigniszeit Ihrer Appliance oder Anwendung zu identifizieren und ordnungsgemäß zu formatieren. Wenn der Wert devTime ein Epochenwert aus 10 oder 13 Ziffern ist, ist keine devTimeFormat-Zeichenfolge erforderlich. Andernfalls müssen die Schlüssel devTime und devTimeFormat zusammen verwendet werden, um sicherzustellen, dass die Zeit des Ereignisses von QRadargenau analysiert wird. Wenn devTime in den Ereignisnutzdaten enthalten ist, wird diese Angabe für die Identifizierung der Ereignisuhrzeit verwendet, und zwar selbst dann, wenn der syslog-Header eine Datums- und eine Zeitmarke enthält. Das Datum und die Uhrzeit im syslog-Header dienen als Rückgriffs-ID, für die Identifizierung der Ereignisuhrzeit wird jedoch die Methode devTime bevorzugt. |
| devTimeFormat | Zeichenfolge | Nein | Wendet die Formatierung auf das unformatierte Datum und die unformatierte Uhrzeit von devTime keyan. Der Schlüssel devTimeFormat ist erforderlich, wenn Ihr Ereignisprotokoll devTime enthält. Weitere Informationen finden Sie unter Benutzerdefiniertes Ereignisdatumsformat. |
| proto | Ganzzahl oder Schlüsselwort | Ja | Gibt das Transportprotokoll des Ereignisses an. Sie finden eine Liste der Schlüsselwörter bzw. Ganzzahlwerte auf der Website der Internet Assigned Numbers Authority unter folgender Adresse: http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml |
| sev | Ganzzahl | Ja | Gibt den Schweregrad des Ereignisses an. 1 entspricht der niedrigsten Ereigniswertigkeit. 10 entspricht der höchsten Ereigniswertigkeit. Grenzwerte des Attributs: 1 bis 10 |
| src | IPv4- oder IPv6-Adresse | Ja | Die IP-Adresse der Ereignisquelle. |
| dst | IPv4- oder IPv6-Adresse | Ja | Die IP-Adresse des Ereignisziels. |
| srcPort | Ganzzahl | Ja | Der Quellenport des Ereignisses. Grenzwerte des Attributs: 0 bis 65535 |
| dstPort | Ganzzahl | Ja | Der Zielport des Ereignisses. Grenzwerte des Attributs: 0 bis 65535 |
| srcPreNAT | IPv4- oder IPv6-Adresse | Ja | Die Quellen-IP-Adresse der Ereignisnachricht vor der Netzadressumsetzung (Network Address Translation, NAT). |
| dstPreNAT | IPv4- oder IPv6-Adresse | Ja | Die Zieladresse für die Ereignisnachricht vor der Netzadressumsetzung (Network Address Translation, NAT). |
srcPostNAT |
IPv4- oder IPv6-Adresse | Ja | Die Quellen-IP-Adresse der Nachricht nach der Netzadressumsetzung (Network Address Translation, NAT). |
| dstPostNAT | IPv4- oder IPv6-Adresse | Ja | Die Ziel-IP-Adresse der Nachricht nach der Netzadressumsetzung (Network Address Translation, NAT). |
| usrName | Zeichenfolge | Ja | Der Benutzername, der dem Ereignis zugeordnet ist. Grenzwerte des Attributs: 255 |
| srcMAC | MAC-Adresse | Ja | Die MAC-Adresse der Ereignisquelle im Hexadezimalformat. Die MAC-Adresse setzt sich aus sechs Gruppen von jeweils zwei Hexadezimalziffern zusammen, die durch Doppelpunkte voneinander getrennt sind. Beispiel:
|
| dstMAC | MAC-Adresse | Ja | Die MAC-Adresse des Ereignisziels im Hexadezimalformat. Die MAC-Adresse setzt sich aus sechs Gruppen von jeweils zwei Hexadezimalziffern zusammen, die durch Doppelpunkte voneinander getrennt sind. Beispiel:
|
| srcPreNATPort | Ganzzahl | Ja | Die Portnummer der Ereignisquelle vor der Netzadressumsetzung (Network Address Translation, NAT). Grenzwerte des Attributs: 0 bis 65535 |
| dstPreNATPort | Ganzzahl | Ja | Die Portnummer des Ereignisziels vor der Netzadressumsetzung (Network Address Translation, NAT). Grenzwerte des Attributs: 0 bis 65535 |
| srcPostNATPort | Ganzzahl | Ja | Die Portnummer der Ereignisquelle nach der Netzadressumsetzung (Network Address Translation, NAT). Grenzwerte des Attributs: 0 bis 65535 |
| dstPostNATPort | Ganzzahl | Ja | Die Portnummer des Ereignisziels nach der Netzadressumsetzung (Network Address Translation, NAT). Grenzwerte des Attributs: 0 bis 65535 |
| identSrc | IPv4- oder IPv6-Adresse | Ja | Die Identitätsquelle stellt eine zusätzliche IPv4- oder IPv6-Adresse dar, die ein Ereignis mit einer tatsächlichen Benutzeridentität oder einer tatsächlichen Computeridentität verbinden kann. Beispiel 1: Verbindung einer Person mit einer Netzidentität. Der Benutzer X meldet sich über sein Notebook an und stellt anschließend eine Verbindung zu einem gemeinsam genutzten System im Netz her. Wenn seine Aktivität ein Ereignis generiert, können mithilfe von identSrc in den Nutzdaten weitere Informationen zur IP-Adresse eingeschlossen werden. QRadar verwendet die identSrc -Informationen im Ereignis zusammen mit den Nutzdateninformationen, wie z. B. username, um den Benutzer X als bob.smithzu identifizieren. Die folgenden Identitätsschlüssel hängen vom Vorhandensein von identSrcs in den Ereignisnutzdaten ab: identHostName identNetBios identGrpName identMAC |
| identHostName | Zeichenfolge | Schlüssel | Informationen zum Hostnamen, die der Angabe identSrc zugeordnet sind. Damit kann der tatsächliche Hostname identifiziert werden, der mit einem Ereignis verknüpft ist. Der Parameter identHostName kann von QRadar nur verwendet werden, wenn Ihr Gerät sowohl den Schlüssel identSrc als auch identHostName in Ereignisnutzdaten bereitstellt. Grenzwerte des Attributs: 255 |
| identNetBios | Zeichenfolge | Ja | Der NetBIOS-Name, der dem Parameter identSrc zugeordnet ist, um das Identitätsereignis mit einer NetBIOS-Namensauflösung näher anzugeben. Der Parameter identNetBios kann von QRadar nur verwendet werden, wenn Ihr Gerät sowohl den Schlüssel identSrc als auch identNetBios in Ereignisnutzdaten bereitstellt. Grenzwerte des Attributs: 255 |
| identGrpName | Zeichenfolge | Ja | Der Gruppenname, der dem Parameter identSrc zugeordnet ist, um das Identitätsereignis mit einer Auflösung des Gruppennamens näher anzugeben. Der Parameter identGrpName kann von QRadar nur verwendet werden, wenn Ihr Gerät sowohl den Schlüssel identSrc als auch identGrpName in Ereignisnutzdaten bereitstellt. Grenzwerte des Attributs: 255 |
| identMAC | MAC-Adresse | Ja | Für die künftige Verwendung im LEEF-Format reserviert. |
| vSrc | IPv4- oder IPv6-Adresse | Nein | Die IP-Adresse der virtuellen Ereignisquelle. |
| vSrcName | Zeichenfolge | Nein | Der Name der virtuellen Ereignisquelle. Grenzwerte des Attributs: 255 |
| accountName | Zeichenfolge | Nein | Der Kontoname, der dem Ereignis zugeordnet ist. Grenzwerte des Attributs: 255 |
| srcBytes | Ganzzahl | Nein | Gibt den Bytezähler aus der Ereignisquelle an. |
| dstBytes | Ganzzahl | Nein | Gibt den Bytezähler für das Ereignisziel an. |
| srcPackets | Ganzzahl | Nein | Gibt den Paketzähler aus der Ereignisquelle an. |
| dstPackets | Ganzzahl | Nein | Gibt den Paketzähler für das Ereignisziel an. |
totalPackets |
Ganzzahl | Nein | Gibt die Gesamtzahl der Pakete an, die zwischen der Quelle und dem Ziel übertragen werden. |
| role | Zeichenfolge | Nein | Die Art der Rolle (role), die dem Benutzerkonto zugeordnet ist, von dem das Ereignis erstellt wurde (beispielsweise Administrator, Benutzer oder Domänenadministrator). |
| realm | Zeichenfolge | Nein | Der Bereich (realm), der dem Benutzerkonto zugeordnet ist. Abhängig von Ihrer Einheit kann es sich hierbei um eine allgemeine Gruppierung oder um eine bereichsbasierte Angabe handeln, beispielsweise um die Abrechnung oder ferne Niederlassungen. |
| policy | Zeichenfolge | Nein | Eine Richtlinie (policy), die dem Benutzerkonto zugeordnet ist. Für diese policy-Angabe wird in der Regel die Sicherheits- oder Gruppenrichtlinie verwendet, die mit dem Benutzerkonto verknüpft ist. |
| resource | Zeichenfolge | Nein | Eine Richtlinie (resource), die dem Benutzerkonto zugeordnet ist. Für diese resource-Angabe wird in der Regel der Computername verwendet. |
| url | Zeichenfolge | Nein | Die im Ereignis enthaltenen URL-Informationen. |
| groupID | Zeichenfolge | Nein | Die groupID , die dem Benutzerkonto zugeordnet ist. |
| domain | Zeichenfolge | Nein | Die domain , die dem Benutzerkonto zugeordnet ist. |
| isLoginEvent | Boolesche Zeichenfolge | Nein | Gibt an, ob das Ereignis mit einer Benutzeranmeldung zusammenhängt. Beispiel: isLoginEvent=true isLoginEvent=false Dieser Schlüssel ist in der LEEF-Spezifikation reserviert, aber nicht in QRadarimplementiert. Grenzwerte des Attributs: true oder false |
| isLogoutEvent | Boolesche Zeichenfolge | Nein | Gibt an, ob das Ereignis mit einer Benutzerabmeldung zusammenhängt. Beispiel: isLogoutEvent=true isLogoutEvent=false Dieser Schlüssel ist in der LEEF-Spezifikation reserviert, aber nicht in QRadarimplementiert. Grenzwerte des Attributs: true oder false |
| identSecondlp | IPv4- oder IPv6-Adresse | Nein | Die zweite IP-Adresse für die Identität stellt eine IPv4- oder IPv6-Adresse dar, die für die Zuordnung eines Einheitenereignisses verwendet wird, das eine sekundäre IP-Adresse enthält. Sekundäre IP-Adressen können in Ereignissen aufgrund von Routern, Switches oder in Einheitenereignissen im Zusammenhang mit einem virtuellen LAN (VLAN) enthalten sein. Dieser Schlüssel ist in der LEEF-Spezifikation reserviert, aber nicht in QRadarimplementiert. |
| calLanguage Grenzwerte des Attributs: 2 |
Zeichenfolge | Nein | Gibt die Sprache des Schlüssels für die Gerätezeit (devTime) an, um eine Übersetzung zu ermöglichen und sicherzustellen, dass QRadar das Datum und die Zeit von Ereignissen, die in übersetzten Sprachen generiert wurden, korrekt analysiert. Das Feld calLanaguage kann zwei alphanumerische Zeichen enthalten, mit denen die Ereignissprache für die Einheitenzeit Ihres Ereignisses dargestellt wird. Alle für calLanguage angegebenen alphanumerischen Zeichen weisen das Format ISO 639-1 auf. Beispiel: calLanguage=fr devTime=avril 09 2014 12:30:55 calLanguage=de devTime=Di 30 Jun 09 14:56:11 Dieser Schlüssel ist in der LEEF-Spezifikation reserviert, aber derzeit nicht in QRadarimplementiert. Grenzwerte des Attributs: 2 |
| calCountryOrRegion | Zeichenfolge | Nein | Erweitert den Schlüssel calLanguage um weitere Übersetzungsinformationen, die das Land oder die Region für die Ereignisgerätezeit (devTime) einschließen können. Der Schlüssel calCountryOrRegion muss zusammen mit dem Schlüssel calLanguage verwendet werden. Das Feld calCountryOrRegion kann zwei alphanumerische Zeichen enthalten, mit denen das Ereignisland oder die Ereignisregion für die Einheitenzeit Ihres Ereignisses dargestellt werden. Alle für calCountryOrRegion angegebenen alphanumerischen Zeichen weisen das Format ISO 3166 auf. Beispiel: calLanguage=de calCountryOrRegion=DE devTime=Di 09 Jun 2014 12:30:55 calLanguage=en calCountryOrRegion=US devTime=Tue 30 Jun 09 Dieser Schlüssel ist in der LEEF-Spezifikation reserviert, aber nicht in QRadarimplementiert. Grenzwerte des Attributs: 2 |
key=([^\t]+).- Die Eingabe für vSrc ist
vSrc=([^\t]+). - Die Eingabe für vSrcName ist
vSrcName=([^\t]+). - Die Eingabe für accountName ist
accountName=([^\t]+).
- Wenn Sie # als Begrenzer verwenden, lautet die Eingabe für vSrcfolgendermaßen:
vSrc=([^#]+). - Wenn Sie | als Begrenzer verwenden, lautet die Eingabe für vSrc folgendermaßen:
vSrc=([^|]+).
QRadar V7.3.2 oder höher umfasst die automatische Erkennung von Eigenschaften für angepasste Eigenschaften von vordefinierten und angepassten LEEF-Ereignisattributen. Diese automatische Erkennungsfunktion erleichtert die Konfiguration von benutzerdefinierten Eigenschaften, ohne Regex verwenden zu müssen.