Microsoft Windows (Italian)

Use the IBM® QRadar® Custom Properties for Microsoft Windows (Italian) Content Extension to closely monitor your Italian language Microsoft Windows deployment.

This content extension is for use with the IBM Security QRadar Custom Properties for Microsoft Windows Content Extension. The custom properties in this content extension are used for parsing Italian language logs.

Important: To avoid content errors in this content extension, keep the associated DSMs up to date. DSMs are updated as part of the automatic updates. If automatic updates are not enabled, download the most recent version of the associated DSMs from IBM Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Custom Properties for Microsoft Windows (Italian) Content Extension 1.0.0

The following table shows the custom properties in IBM Security QRadar Custom Properties for Microsoft Windows (Italian) Content Extension 1.0.0.

Table 1. Custom Properties in IBM Security QRadar Custom Properties for Microsoft Windows (Italian) Content Extension 1.0.0
Name Optimized Capture Group Regex
Access Mask Yes 1 Maschera di accesso:\s+(0[^\s&]+)
Accesses Yes 1

Accessi:\s*(.*?)\s+(?:Motivi accesso)

Accessi:\s*(.*?)\s+(?:Maschera di accesso)
Account Security ID No 1

ID sicurezza:\s+(.*?)\s+(?:Nome account)

Nuovo accesso:\s+ID sicurezza:\s+(.*?)\s+(?:Nome account)
Error Code Yes 1 Stato[\:\\\=\s]+([^\s]+)
EventID Yes 1 EventID=(\d+)
File Directory Yes 1 Nome oggetto:\s+(.*)\\.*?\s+(?:ID handle)
File Extension Yes 1 Nome oggetto:\s.*?\.([^\\\.]*?)\s+(?:ID handle)
Filename Yes 1 Nome oggetto:\s.*?\\([^\\]*?)\s+(?:ID handle)
Logon Type Yes 1 Tipo di accesso[:\s\\=]+(\d+)
Machine ID Yes 1 Computer=([^\s]+)
ObjectName Yes 1 Nome oggetto[:\s]+(.*?)\s+(?:Handle dell'oggetto)
ObjectType Yes 1 Tipo di oggetto:\s(.*?)\s+(?:Nome oggetto)
Parent Process ID No 1 ID processo creatore:\s(.*?)\s+(?:Nome processo creatore)
Parent Process Name Yes 1 Nome processo creatore[:\s\\=]+.*?\\([^\\]*?)\s
Parent Process Path Yes 1 Nome processo creatore:\s(.*?)\\[^\\]*?\s
Process CommandLine Yes 1 Riga di comando processo[:\s\\=]+(.*?)\s*(?:Tipo elevazione token)
Process Id Yes 1

ID processo[\:\\\=\s]+([^\s]+)\s+(?:Nome processo)

ID nuovo processo[\:\\\=\s]+([^\s]+)\s+(?:Nome nuovo processo)

ID processo chiamante:\s+(.*?)\s
Process Name Yes 1

Nome processo:\s?.*\\([^\s]+)

Nome processo chiamante[:\s\\=]+.*?\\([^\\]*?)\s

Nome nuovo processo:\s.*?\\([^\\]*?)\s
Process Path Yes 1

Nome processo:\s+(.*)\\.*?\s

Nome processo chiamante:\s(.*?)\\[^\\]*?\s

Nome nuovo processo:\s(.*?)\\[^\\]*?\s
Reason Yes 1 Motivo dell'errore[\:\\\=\s]+(.*?)\s+(?: Stato)
Target Account Security ID No 1 Account di destinazione.*?ID sicurezza[\:\\\=\s]+([^\s]+)\s+(?:Nome account)
Target User Domain No 1

Nuovo accesso.*?Dominio account:\s+(.*?)\s

Account di destinazione.*?Dominio account[\:\\=\s]+([^\s]+)
Target User Name Yes 1

Nuovo accesso.*?Nome account:\s+(.*?)\s

Account di destinazione.*Nome account:\s(.*?)\s(?:Dominio account)
Token Elevation Type Yes 1 Tipo elevazione token:\s(%%\d{4})
User Domain No 1 Dominio account[\:\\\=\s]+([^\s]+)