Microsoft Windows (German)

Use the IBM® QRadar® Custom Properties for Microsoft Windows (German) Content Extension to closely monitor your German language Microsoft Windows deployment.

This content extension is for use with the IBM Security QRadar Custom Properties for Microsoft Windows Content Extension. The custom properties in this content extension are used for parsing German language logs.

Important: To avoid content errors in this content extension, keep the associated DSMs up to date. DSMs are updated as part of the automatic updates. If automatic updates are not enabled, download the most recent version of the associated DSMs from IBM Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0

The following table shows the custom properties in IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0.

Table 1. Custom Properties in IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0
Name Optimized Capture Group Regex
AccountName Yes 1 Kontoname:\s*(.+?)\s+ Kontodomäne:\s*(.+?)\s+
Computer Name No 1 Arbeitsstationsname[:\s\\=]+([^\s&]+)\s+Quellnetzwerkadresse
File Directory Yes 1 Objekttyp[:\s\\=]+File[\s\t]+Objektname[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle-ID|&&)
File Extension Yes 1 Objektname:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
Filename Yes 1 Objekttyp[:\s\\=]+File[\s\t]+Objektname[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle-ID|&&)
Group Domain No 1 (?:Gruppendomäne|Zieldomäne)[:=\s\\]+([^\s]+)
Group Name Yes 1 ?:Gruppenname|Zielkontoname)[:=\s\\]+(.*?)\s+(?:Gruppendomäne|Zieldomäne|Gruppe:|&&)
Group Security ID No 1 Gruppe[:\s]*Sicherheits-ID[:=\s\\]+(.*?)\s+(?:Gruppenname|Gruppe:|Kontoname|&&)
GroupID Yes 1 Gruppen-ID[:\s\\=]*(\d+)
Home Directory No 1 Stammverzeichnis[:\s]*(.*?)\s+Stammlaufwerk:
Initiator User Name Yes 1 Antragsteller.*?Kontoname[\:\\\=\s]+(.*?)\s+(?:Kontodomäne|&&)
Logon Type Yes 1 Anmeldetyp[:\s\\=]+(\d+)
Object Type Yes 1 Objekttyp[:\s\\=]*([^\s&]*)
Process Name Yes 1 Prozessname[:\s\\=]+(?:.*\\)?(.*?)\s+(?:Netzwerkinformationen|\s|&&)

Prozessname: \s?.*\\([^\s]+)

SAM Account Name No 1 S(?:AM|am)-Kontoname[:\s]*(.*?)\s+Anzeigename:
Target Account Security ID No 1 Neues Konto.*?Sicherheits-ID:[\:\\\=\s]+(.*?)\s+(?:Kontoname|&&)

Mitglied[\:\s]+(?:Sicherheits-)?ID[\:\s\\=]+(.*?)\s+(?:Kontoname|&&)

Zielkonto.*?ID[:\s\\=]+(.*?)\s+(?:Kontoname|Kontodomäne|&&)

Neue Anmeldung.*?Sicherheits-ID:[\:\\\=\s]+(.*?)\s+(?:Kontoname|&&)

Target User Domain No 1 Neues Konto.*?Kontodomäne[\:\\\=\s]+([^\s]+)

Neue Anmeldung:.*?Kontodomäne[\:\\\=\s]+([^\s]+)

Zielkonto.*?domäne[\:\\\=\s]+([^\s]+)

Target User Name Yes 1 Neues Konto.*?name:[\:\\\=\s]+(.*?)\s+(?:Kontodomäne:|&&)

Neue Anmeldung.*?name:[\:\\\=\s]+(.*?)\s+(?:Kontodomäne:|&&)

Zielkonto.*?name[\:\\\=\s]+(.*?)\s+(?:Kontodomäne:|Zieldomäne:|&&)

User Domain No 1 Antragsteller.*?domäne[\:\\\=\s]{2,}([^\s]+)
User Principal Name No 1 Benutzerprinzipalname[:\s]*(.*?)\s+Stammverzeichnis:
User Workstations No 1 Benutzerarbeitsstationen[:\s]*(.*?)\s+Letzte Kennwortänderung: