Buscador de coincidencias JSON (json-matcher)

Una entidad de buscador de coincidencias JSON (json-matcher) es un campo que se analiza y se empareja con el patrón y grupo adecuados para el análisis. Esta entidad es nueva en IBM QRadar V7.3.1.

Si se especifican varios buscadores de coincidencias para el mismo nombre de campo, los buscadores de coincidencias se ejecutan en el orden que se presenta hasta que se encuentra un análisis correcto.

Tabla 1. Descripción de los parámetros del buscador de coincidencias JSON
Parámetro	Descripción
`field` (Necesario)	El campo al que desea aplicar el patrón; por ejemplo, EventName o SourceIp. Puede utilizar cualquiera de los nombres de campo listados en la tabla Lista de nombres de campo de buscador de coincidencias válidos .
`pattern-id` (Necesario)	El patrón que desea utilizar cuando el campo se analice desde la carga útil. Este valor debe coincidir (incluidas las mayúsculas y minúsculas) con el parámetro de ID de un patrón ya definido. (Tabla 1)
`order` (Necesario)	El orden en el que desea que se intente este patrón entre los buscadores de coincidencias que están asignados al mismo campo. Si se asignan dos coincidentes al campo EventName , primero se intentará el que tenga el orden más bajo. Los buscadores de coincidencias regulares de expresiones regulares y los buscadores de coincidencias JSON se combinan en una lista. Los distintos tipos de coincidentes se intentan en función de sus pedidos y el proceso se detiene cuando uno de los coincidentes puede analizar los datos de la carga útil.
`enable-substitutions` (Opcional)	Booleano Cuando se establece en `true`, un campo no se puede representar adecuadamente con una captura de grupo recta. Puede combinar varios grupos con texto adicional para formar un valor. Siempre que el patrón tenga el formato de una vía de acceso de varias claves, establezca el valor enable-subtitutions en '= true' para que cada vía de acceso de claves del patrón y la expresión se sustituya por el valor que encuentre la carga útil. Por ejemplo, si la carga útil JSON contiene los campos first_name y last_name , pero ningún campo full_name , puede definir una expresión que contenga varias vías de acceso de claves, como `{/"last_name"}, {/"first_name"}`. El valor capturado para esta expresión es smith, john. El valor predeterminado es false.
`ext-data` (Opcional)	Un parámetro de datos adicionales que define cualquier información o formato de campo adicional que un campo de buscador de coincidencias puede proporcionar en la extensión. El único campo que utiliza actualmente este parámetro es DeviceTime. Por ejemplo, puede tener un dispositivo que envía sucesos mediante una indicación de fecha y hora exclusiva, pero desea reformatear el suceso con una hora de dispositivo estándar. Utilice el parámetro ext-data incluido en el campo DeviceTime para reformatear la indicación de fecha y hora del suceso. Para obtener más información, consulte la Lista de nombres de campo de buscador de coincidencias JSON válidos.

La tabla siguiente lista los nombres de campo válidos del buscador de coincidencias JSON .

Tabla 2. Lista de nombres de campo válidos de buscador de coincidencias JSON
Nombre de campo	Descripción
EventName (Obligatorio)	El nombre del suceso que debe recuperarse del QID para identificar el suceso. Nota: Este parámetro no aparece como un campo en la pestaña Actividad de registro .
EventCategory	Una categoría de suceso para cualquier suceso con una categoría que no esté manejada por una entidad individual de coincidencia de suceso o una entidad múltiple de coincidencia de suceso. Combinado con EventName, EventCategory se utiliza para buscar el suceso en el QID. Los campos que se utilizan para las búsquedas de QIDmap requieren que se establezca un distintivo de alteración temporal cuando el sistema QRadar ya conoce los dispositivos, por ejemplo: `<event-match-single event-name="Successfully logged in" force-qidmap-lookup-on-fixup="true" device-event-category="CiscoNAC" severity="4" send-identity="OverrideAndNeverSend" />` `force-qidmap-lookup-on-fixup="true"` es el distintivo de alteración temporal. Nota: Este parámetro no aparece como un campo en la pestaña Actividad de registro .
SourceIp	La dirección IP de origen del mensaje.
SourcePort	El puerto de origen del mensaje.
SourceIpPreNAT	La dirección IP de origen del mensaje antes de que se produzca la conversión de direcciones de red (NAT).
SourceIpPostNAT	La dirección IP de origen del mensaje después de que se produzca la NAT.
SourceMAC	La dirección MAC de origen del mensaje.
SourcePortPreNAT	El puerto de origen del mensaje antes de que se produzca la NAT.
SourcePortPostNAT	El puerto de origen del mensaje después de que se produzca la NAT.
DestinationIp	La dirección IP de destino del mensaje.
DestinationPort	El puerto de destino del mensaje.
DestinationIpPreNAT	La dirección IP de destino del mensaje antes de que se produzca la NAT.
DestinationIpPostNAT	La dirección IP de destino del mensaje después de que se produzca la NAT.
DestinationPortPreNAT	El puerto de destino del mensaje antes de que se produzca la NAT.
DestinationPortPostNAT	El puerto de destino del mensaje después de que se produzca la NAT.
DestinationMAC	La dirección MAC de destino del mensaje.
DeviceTime	El formato de fecha y hora que se utiliza en el dispositivo. Esta indicación de fecha y hora representa la hora a la que se ha enviado el suceso, según el dispositivo. Este parámetro no representan la hora a la que ha llegado el suceso. El campo `DeviceTime` da soporte a la capacidad de utilizar una indicación de fecha y hora personalizada para el suceso utilizando el atributo ext-data del buscador de coincidencias. La lista siguiente contiene ejemplos de formatos de indicación de fecha y hora que se pueden utilizar en el campo `DeviceTime`: ext-data="dd/MMM/AAAA:hh:mm:ss" 11/Mar/2015:05:26:00 ext-data="MMM dd AAAA / hh:mm:ss" Mar 11 2015 / 05:26:00 ext-data="hh:mm:ss:dd/MMM/AAAA" 05:26:00:11/Mar/2015 Para obtener más información sobre los posibles valores para el formato de datos y marca de tiempo, consulte la página web de Java SimpleDateFormat ( https://docs.oracle.com/javase/8/docs/api/java/text/SimpleDateFormat.html ). DeviceTime es el único campo de suceso que utiliza el parámetro ext-data.
Protocolo	El protocolo del mensaje; por ejemplo, TCP, UDP o ICMP.
UserName	El nombre de usuario del mensaje.
HostName	El nombre de host del mensaje. Normalmente, este campo está asociado a sucesos de identidad.
GroupName	El nombre de grupo del mensaje. Normalmente, este campo está asociado a sucesos de identidad.
IdentityIp	La dirección IP de identidad del mensaje.
IdentityMac	La dirección MAC de identidad del mensaje.
IdentityIpv6	La dirección IP de identidad de IPv6 para el mensaje.
NetBIOSName	El nombre NetBIOS del mensaje. Normalmente, este campo está asociado a sucesos de identidad.
ExtraIdentityData	Cualquier dato específico del usuario para el mensaje. Normalmente, este campo está asociado a sucesos de identidad.
SourceIpv6	La dirección IP de origen IPv6 del mensaje.
DestinationIpv6	La dirección IP de destino IPv6 del mensaje.