Componentes de sucesos LEEF

El formato extendido de registro de eventos (LEEF) es un formato de eventos personalizado para IBM QRadar que contiene eventos legibles y fáciles de procesar para QRadar®. El formato LEEF consta de los siguientes componentes.

Cabecera Syslog

La cabecera syslog contiene la indicación de fecha y hora y la dirección IPv4 o el nombre de host del sistema que proporciona el suceso. La cabecera syslog es un componente opcional del formato LEEF. Si incluye una cabecera syslog, debe separar la cabecera syslog de la cabecera LEEF con un espacio. La cabecera de syslog debe ajustarse a los formatos especificados en RFC 3164 o RFC 5424.

Formato de cabecera RFC 3164:
Nota: La etiqueta de prioridad es opcional para QRadar.
< priority tag> < timestamp> < dirección IP o nombre de host >

La etiqueta de prioridad, si está presente, debe ser de 1 a 3 dígitos y debe estar entre corchetes. Por ejemplo, < 13 >.

Ejemplos de cabecera RFC 3164:
  • <13>Jan 18 11:07:53 192.168.1.1
  • Ene 18 11:07:53 myhostname
Formato de cabecera RFC 5424:
Nota: La etiqueta de prioridad es obligatoria.
< priority tag>1 < indicaciónfechahora> < dirección IP o nombre de host >
La etiqueta de prioridad debe tener de 1 a 3 dígitos y debe estar entre corchetes. Por ejemplo, <13>. La marca de tiempo debe tener el formato: yyyy-MM-ddTHH:mm:ss.SSSZ.
Nota:
  • La 'T' debe ser un carácter T literal.
  • La 'Z' puede ser un literal Z o puede ser un valor de huso horario con el formato siguiente: -04:00
Ejemplos de cabecera RFC 5424:
  • < 13 > 1 2019-01-18T11:07:53.520Z 192.168.1.1
  • < 133 > 1 2019-01-18T11:07:53.520+07:00 minombre_host

Cabecera LEEF

La cabecera LEEF es un campo necesario para los sucesos LEEF. La cabecera LEEF es un conjunto de valores delimitados por conductos (|) que identifica el software o dispositivo en QRadar.

Ejemplos:

  • LEEF:Version|Vendor|Product|Version|EventID|
  • LEEF:1.0|Microsoft|MSExchange|4.0 SP1|15345|
  • LEEF:2.0|Lancope|StealthWatch|1.0|41|^|

Atributos de sucesos

Los atributos de suceso identifican la información de carga útil del suceso producido por el dispositivo o el software. Cada atributo de suceso es un par de clave y valor con un separador que separa sucesos de carga útil individuales. El formato LEEF contiene una serie de atributos de suceso predefinidos, que permiten a QRadar categorizar y visualizar el suceso.

Ejemplo:
  • key=value < tab> key = value < tab> key = value < tab> key = value < tab>.
  • src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomaly srcPort=81 dstPort=21 usrName=joe.black

Utilice DelimiterCharacter en la cabecera LEEF 2.0 para especificar un delimitador alternativo para los atributos. Puede utilizar un único carácter o el valor hexadecimal para ese carácter. El valor hexadecimal se puede representar mediante el prefijo 0x o x, seguido de una serie de 1-4 caracteres (0-9A-Fa-f).

Tabla 1. Ejemplos de caracteres delimitadores de atributos para LEEF 2.0
Delimitador Encabezado
Signo de intercalación (^) LEEF:2.0|Vendor|Product|Version|EventID|^|
Acento circunflejo (valor hexadecimal) LEEF:2.0|Vendor|Product|Version|EventID|x5E|
Barra vertical rota (¦) LEEF:2.0|Vendor|Product|Version|EventID|x7c|

La tabla siguiente proporciona descripciones para los formatos LEEF.

Tabla 2. Descripciones de formato LEEF
Tipo Entrada Delimitador Descripción

Cabecera de Syslog

Dirección IP

Espacio

La dirección IP o el nombre de host del software o dispositivo que proporciona el suceso a QRadar.

Ejemplo:

192.168.1.1

minombre_host

La dirección IP de la cabecera syslog la utiliza QRadar para direccionar el suceso al origen de registro correcto en la interconexión de sucesos. No se recomienda que la cabecera syslog contenga una dirección IPv6 . QRadar no puede direccionar una dirección IPv6 presente en la cabecera syslog para la interconexión de sucesos. Además, es posible que una dirección IPv6 no se visualice correctamente en el campo Identificador de origen de registro de la interfaz de usuario.

Cuando QRadarno puede entender una dirección IP de la cabecera syslog, el sistema toma de forma predeterminada la dirección de paquete para direccionar correctamente el suceso.

Cabecera LEEF

LEEF :versión

pipe

La información de versión de LEEF es un valor entero que identifica la versión principal y secundaria del formato LEEF que se utiliza para el suceso.

Por ejemplo, LEEF:1.0|Vendor|Product|Version|EventID|

Cabecera LEEF

Nombre de proveedor o fabricante

pipe

Proveedor es una serie de texto que identifica al proveedor o fabricante del dispositivo que envía los sucesos de syslog en formato LEEF.

Por ejemplo, LEEF:1.0|Microsoft|Product|Version|EventID|

Los campos Proveedor y Producto deben contener valores exclusivos cuando se especifican en la cabecera LEEF.

Cabecera LEEF

Nombre del producto

pipe

El campo de producto es una serie de texto que identifica el producto que envía el registro de sucesos a QRadar.

Por ejemplo, LEEF:1.0|Microsoft|MSExchange|Version|EventID|

Los campos Proveedor y Producto deben contener valores exclusivos cuando se especifican en la cabecera LEEF.

Cabecera LEEF

Versión del producto

pipe

La versión es una serie que identifica la versión del software o dispositivo que envía el registro de sucesos.

Por ejemplo, LEEF:1.0|Microsoft|MSExchange|4.0 SP1|EventID|

Cabecera LEEF

EventID

pipe

EventID es un identificador exclusivo para un suceso en la cabecera LEEF.

La finalidad del EventID es proporcionar un identificador exclusivo de grano fino para un suceso sin necesidad de examinar la información de carga útil. Un EventID puede contener un número identificado o una descripción de texto.

Ejemplos:

  • LEEF:1.0|Microsoft|MSExchange|2007|7732|
  • LEEF:1.0|Microsoft|MSExchange|2007|Logon Anomalía |

Restricciones:

El valor del ID de suceso debe ser coherente y estático entre los productos que dan soporte a varios idiomas. Si el producto da soporte a sucesos de varios idiomas, puede utilizar un valor numérico o textual en el campo EventID , pero no debe traducirse cuando se modifique el idioma del dispositivo o la aplicación. El campo EventID no puede superar los 255 caracteres.

Cabecera LEEF

Carácter delimitador

pipe

 Utilice DelimiterCharacter en la cabecera LEEF 2.0 para especificar un delimitador alternativo para los atributos. Puede utilizar un único carácter o el valor hexadecimal para ese carácter. El valor hexadecimal se puede representar mediante el prefijo 0x o x, seguido de una serie de 1-4 caracteres (0-9A-Fa-f).

Atributos de suceso

Entradas de clave predefinidas

Ficha

Carácter delimitador

El atributo de suceso es un conjunto de pares de clave-valor que proporcionan información detallada sobre el suceso de seguridad. Cada atributo de suceso debe estar separado por tabulador o el carácter delimitador, pero no se aplica el orden de los atributos.

Por ejemplo, src=172.16.77.100