Linux

La extensión de contenido IBM Security QRadar Linux® añade nuevas propiedades de eventos personalizados para Linux.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. Los DSM se actualizan como parte de las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Seguridad QRadar Linux Extensiones de contenido

Propiedades personalizadas en Linux 1.1.3 extensión de contenido
Propiedades personalizadas en Linux 1.1.2 extensión de contenido
Propiedades personalizadas en Linux 1.1.1 extensión de contenido
Propiedades personalizadas en la extensión de contenido de Linux 1.1.0
Propiedades personalizadas en la extensión de contenido de Linux 1.0.1
Propiedades personalizadas en la extensión de contenido de Linux 1.0.0

Propiedades personalizadas en la extensión de contenido Linux 1.1.3

La tabla siguiente muestra las nuevas propiedades personalizadas en la extensión de contenido IBM Security QRadar Linux 1.1.3 .

Tabla 1. Nuevas propiedades personalizadas en Linux 1.1.3 extensión de contenido
Nombre	Optimizada	Grupo de capturas	Expresión regular
Extensión de archivo	Sí	1	item = \d + name=" (?: [^ \"] + \/) * .. * ?\. ([^ \.] ? (?:\. [^ \.] ?){0,1}) "

Tabla 2. Nuevos nombres de propiedad en Linux 1.1.3 extensión de contenido
Nombre de propiedad antiguo	Nuevo nombre de propiedad
GroupID	ID de grupo
ID de máquina	Identificador de máquina
Línea de comandos de proceso	Mandato
ID de proceso	ID de proceso
UrlHost	Host de URL

Propiedades personalizadas en la extensión de contenido Linux 1.1.2

En la tabla siguiente se muestran las nuevas propiedades personalizadas en la extensión de contenido IBM Security QRadar Linux 1.1.2 .

Tabla 3. Nuevas propiedades personalizadas en la extensión de contenido Linux 1.1.2
Nombre	Optimizada	Grupo de capturas	Expresión regular
Tipo	Nee	1	`type=([^\s]*)`
Nombre de cuenta de asunto	Sí	1	`Account Name:\s+(.*?)\s+Account Domain:`

Propiedades personalizadas en la extensión de contenido Linux 1.1.1

La tabla siguiente muestra las propiedades personalizadas actualizadas en la extensión de contenido IBM Security QRadar Linux 1.1.1 .

Tabla 4. Propiedades personalizadas en Linux 1.1.1 extensión de contenido
Nombre	Optimizada	Grupo de capturas	Expresión regular
Directorio de archivos	Sí	1	name=" (. *?) \/ "
ID de proceso	Sí	1	\bpid=(\d+) \bpid=(\d+) \[(\d+)\]\:\s \bpid=(\d+) pid=(\d+) pid=(\d+)

Se ha actualizado la descripción de la propiedad Directorio de archivos .

El ID de expresión para el Nombre de archivo se ha actualizado para evitar problemas con otro paquete de contenido.

Propiedades personalizadas en la extensión de contenido de Linux 1.1.0

La tabla siguiente muestra las propiedades personalizadas en la extensión de contenido IBM Security QRadar Linux 1.1.0 .

Tabla 5. Propiedades personalizadas en la extensión de contenido de Linux 1.1.0
Nombre	Optimizada	Grupo de capturas	Expresión regular
Arquitectura	Sí	1	arch=([0-9a-fA-F]+)
ID de auditoría	Sí	1	auid=(\d+)
Tipo de llamada	Sí	1	syscall=(\d+)
Mandato	Sí	1	crontab\[\d+\]:\s+$.*?$\s+([^\s]+)
Argumentos del mandato	Sí	1	argc=\d+ ((a\d+="[^";]+?" ?)+)
Directorio de archivos codificados	Sí	1	item=\d+ name=((?:[A-F0-9]{2})(?=2F(?:[A-F0-9]{2})\s)) item=\d+ name=([A-F0-9]+)
Nombre de archivo codificado	Sí	1	item=\d+ name=(?:(?:[A-F0-9]{2})+2F)*([A-F0-9]+)
Código de error	Sí	1	exit=([^\s]+)
Directorio de archivos	Sí	1	item=\d+ name=\"([^\s\"]+)(?=\/) exe=\"([\/\w]+)(?=\/) cwd="(.?)" name="(.?)"\s
Extensión de archivo	Sí	1	item=\d+ name="(?:[^\"]+\/).?\.([^\.]?(?:\.[^\.]?){0,1})"
Permisos del archivo	Sí	1	mode=(\d+)
Nombre de archivo	Sí	1	exe=\".?\/([^\/]?)\" item=\d+ name="(?:[^\"]+\/)*([^\"]+)"
Nombre de grupo	Sí	1	grupo = ([^,] +)
Directorio de inicio	Nee	1	PWD=(.*?)\s;
ID de máquina	Sí	1	^(?:\S+\s+){3}(\S+) \bnode=([^\s]+)
ID de proceso padre	Nee	1	ppid=(\d+)
Línea de comandos de proceso	Sí	1	CMD $(.?)$ COMMAND=(.)
ID de proceso	Nee	1	pid=(\d+) \bpid=(\d+)
Nombre de proceso	Sí	1	comm="(\w+)"
Número de registro	Sí	1	msg=audit$.*?:(\d+)$
ID de terminal	Nee	1	tty=pts(\d+)
UrlHost	Sí	1	(?:(?:http\|ftp\|tcp\|ssl\|https):\/\/)(.*?)(?=$\|\s\|\\\|\"\|\/\|\:\|\\|)

Las siguientes propiedades de cliente se eliminan en la extensión de contenido IBM Security QRadar Linux 1.1.0 :

Nombre del sistema
Directorio de procesos

_{(Volver arriba)}

Propiedades personalizadas en la extensión de contenido de Linux 1.0.1

En la tabla siguiente se muestran las propiedades personalizadas en la extensión de contenido IBM Security QRadar Linux 1.0.1 .

Tabla 6. Propiedades personalizadas en la extensión de contenido de Linux 1.0.1
Nombre	Optimizada	Grupo de capturas	Expresión regular
Nombre del sistema	Nee	1	\bnode=([^\s]+)
Directorio de archivos	Sí	1	exe=\"([\/\w]+)(?=\/) PWD=([\/\w]+)(?=\/) script=([\/\w]+)(?=\/) item=\d+ name="([^\"]*)\/[^\\]+?"
Nombre de archivo	Sí	1	exe=\".?\/([^\/]?)\" PWD=.\/([^\/]?); script=.\/([^,]),\saccount item=\d+ name="[^\"]+\/([^\"]+)"
ID de grupo	Sí	1	(?i)gid=(\d+) uid\/euid\/gid\/egid\s=\s\d+\/\d+\/(\d+)
Línea de comandos de proceso	Sí	1	ocomm="([^\"]+)
ID de proceso	Nee	1	\bpid=(\d+)
Nombre de proceso	Nee	1	exe=".*\/([^"]+)" START\:\s([^\s]+) EXIT\:\s([^\s]+) exe=\"[^\"]+\/([^"]+)
Vía de acceso de proceso	Nee	1	exe="([^"]+)"
ID de usuario	Sí	1	(?i)uid=(\d+)

_{(Volver arriba)}

Propiedades personalizadas en la extensión de contenido de Linux 1.0.0

En la tabla siguiente se muestran las propiedades personalizadas en la extensión de contenido IBM Security QRadar Linux 1.0.0 .

Tabla 7. Propiedades personalizadas en la extensión de contenido de Linux 1.0.0
Nombre	Optimizada	Grupo de capturas	Expresión regular
Application	Nee	1	(\w+)\[\d+\]\:\s
Mandato	Nee	1	COMMAND=([^\s]+) running\s([^\s]+)\scommand
Nombre del sistema	Nee	1	node=([^\s]+)
ID de grupo efectivo	Nee	1	uid\/euid\/gid\/egid\s=\s\d+\/\d+\/\d+\/(\d+)
ID de usuario efectivo	Nee	1	euid=(\d+) uid\/euid\/gid\/egid\s=\s\d+\/(\d+)
Directorio de archivos	Sí Sí	1 1	exe=\"([\/\w]+)(?=\/) PWD=([\/\w]+)(?=\/) script=([\/\w]+)(?=\/)
Nombre de archivo	Sí Sí	1 1	exe=\".?\/([^\/]?)\" PWD=.\/([^\/]?); script=.\/([^,]),\saccount
Nombre de grupo	Nee	1	grupo = ([^,] +)
GroupID	Nee	1	gid=(\d+) uid\/euid\/gid\/egid\s=\s\d+\/\d+\/(\d+)
Directorio de inicio	Nee	1	home=([^,]+)
Dirección de proceso	Nee	1	direction=([^\s]+)
ID de proceso	Nee	1	pid=(\d+) \[(\d+)\]\:\s
Nombre de proceso	Nee	1	exe=".*\/([^"]+)" START\:\s([^\s]+) EXIT\:\s([^\s]+)
Shell	Nee	1	shell=([^,]+)
ID de usuario	Nee	1	uid\/euid\/gid\/egid\s=\s(\d+)\/ uid=(\d+)

_{(Volver arriba)}