Microsoft Windows (German)

Use the IBM® QRadar® Custom Properties for Microsoft Windows (German) Content Extension to closely monitor your German language Microsoft Windows deployment.

This content extension is for use with the IBM Security QRadar Custom Properties for Microsoft Windows Content Extension. The custom properties in this content extension are used for parsing German language logs.

Important: To avoid content errors in this content extension, keep the associated DSMs up to date. DSMs are updated as part of the automatic updates. If automatic updates are not enabled, download the most recent version of the associated DSMs from IBM Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0

The following table shows the custom properties in IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0.

Table 1. Custom Properties in IBM Security QRadar Custom Properties for Microsoft Windows (German) Content Extension 1.0.0
Name	Optimized	Capture Group	Regex
AccountName	Yes	1	Kontoname:\s(.+?)\s+ Kontodomäne:\s(.+?)\s+
Computer Name	No	1	Arbeitsstationsname[:\s\\=]+([^\s&]+)\s+Quellnetzwerkadresse
File Directory	Yes	1	Objekttyp[:\s\\=]+File[\s\t]+Objektname[:\s\=]+(.?)\\[^\\]?\s+(?:Handle-ID\|&&)
File Extension	Yes	1	Objektname:\s+.?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]?)\s+Handle
Filename	Yes	1	Objekttyp[:\s\\=]+File[\s\t]+Objektname[:\s\=]+.?\\([^\\]?)\s+(?:Handle-ID\|&&)
Group Domain	No	1	(?:Gruppendomäne\|Zieldomäne)[:=\s\\]+([^\s]+)
Group Name	Yes	1	?:Gruppenname\|Zielkontoname)[:=\s\\]+(.*?)\s+(?:Gruppendomäne\|Zieldomäne\|Gruppe:\|&&)
Group Security ID	No	1	Gruppe[:\s]Sicherheits-ID[:=\s\\]+(.?)\s+(?:Gruppenname\|Gruppe:\|Kontoname\|&&)
GroupID	Yes	1	Gruppen-ID[:\s\\=]*(\d+)
Home Directory	No	1	Stammverzeichnis[:\s](.?)\s+Stammlaufwerk:
Initiator User Name	Yes	1	Antragsteller.?Kontoname[\:\\\=\s]+(.?)\s+(?:Kontodomäne\|&&)
Logon Type	Yes	1	Anmeldetyp[:\s\\=]+(\d+)
Object Type	Yes	1	Objekttyp[:\s\\=]([^\s&])
Process Name	Yes	1	Prozessname[:\s\\=]+(?:.\\)?(.?)\s+(?:Netzwerkinformationen\|\s\|&&) Prozessname: \s?.*\\([^\s]+)
SAM Account Name	No	1	S(?:AM\|am)-Kontoname[:\s](.?)\s+Anzeigename:
Target Account Security ID	No	1	Neues Konto.?Sicherheits-ID:[\:\\\=\s]+(.?)\s+(?:Kontoname\|&&) Mitglied[\:\s]+(?:Sicherheits-)?ID[\:\s\\=]+(.?)\s+(?:Kontoname\|&&) Zielkonto.?ID[:\s\\=]+(.?)\s+(?:Kontoname\|Kontodomäne\|&&) Neue Anmeldung.?Sicherheits-ID:[\:\\\=\s]+(.*?)\s+(?:Kontoname\|&&)
Target User Domain	No	1	Neues Konto.?Kontodomäne[\:\\\=\s]+([^\s]+) Neue Anmeldung:.?Kontodomäne[\:\\\=\s]+([^\s]+) Zielkonto.*?domäne[\:\\\=\s]+([^\s]+)
Target User Name	Yes	1	Neues Konto.?name:[\:\\\=\s]+(.?)\s+(?:Kontodomäne:\|&&) Neue Anmeldung.?name:[\:\\\=\s]+(.?)\s+(?:Kontodomäne:\|&&) Zielkonto.?name[\:\\\=\s]+(.?)\s+(?:Kontodomäne:\|Zieldomäne:\|&&)
User Domain	No	1	Antragsteller.*?domäne[\:\\\=\s]{2,}([^\s]+)
User Principal Name	No	1	Benutzerprinzipalname[:\s](.?)\s+Stammverzeichnis:
User Workstations	No	1	Benutzerarbeitsstationen[:\s](.?)\s+Letzte Kennwortänderung: