Bit9 Security Platform
El paquete de contenido de seguridad añade propiedades de suceso personalizadas al dispositivo Bit9 Security Platform.
IBM Security QRadar SIEM utiliza JDBC para recopilar eventos de Bit9 Security Platform para auditoría estándar, autenticación y eventos del sistema. Este paquete de contenido de seguridad contiene propiedades de suceso personalizadas para campos importantes que los administradores pueden aprovechar en informes o búsquedas. El RPM del paquete de contenido añade las propiedades de suceso personalizadas además de las existentes que se proporcionan con QRadar.
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2
En la tabla siguiente se muestran las propiedades personalizadas que se han actualizado en IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2.
| Nombre | Optimizada |
|---|---|
| Mensaje | Nee |
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.1
En la tabla siguiente se muestran las propiedades personalizadas que se han actualizado en IBM Security QRadar Bit9 Security Platform Content Extension V1.0.1.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Nombre de prohibición | Sí | 1 | banName=([^\t]+)[\t]* |
| Nombre del host de destino | Sí | 1 | dstHostName=([^\t]+)[\t]* |
| ID externo | Sí | 1 | externalId=([^\t]+)[\t]* |
| Hash de archivo | Sí | 1 | fileHash=([^\t]+)[\t]* |
| ID del archivo | Sí | 1 | fileId=([^\t]+)[\t]* |
| Vía de acceso del archivo | Nee | 1 | filePath=([^\t]+)[\t]* |
| Amenaza de archivo | Sí | 1 | fileThreat=([^\t]+)[\t]* |
| Confianza de archivos | Sí | 1 | fileTrust=([^\t]+)[\t]* |
| Nombre de archivo | Sí | 1 | fileName=([^\t]+)[\t]* |
| Nombre de indicador | Nee | 1 | indicatorName=([^\t]+)[\t]* |
| Nombre de archivo de instalador | Sí | 1 | installerFileName=([^\t]+)[\t]* |
| Mensaje | Sí | 1 | msg=([^\t]+)[\t]* |
| Política de paridad | Sí | 1 | policy=([^\t]+)[\t]* |
| Clave de proceso | Sí | 1 | processKey=([^\t]+)[\t]* |
| Amenaza de proceso | Sí | 1 | processThreat=([^\t]+)[\t]* |
| Confianza de proceso | Sí | 1 | processTrust=([^\t]+)[\t]* |
| Hora de recepción | Sí | 1 | receivedTime=([^\t]+)[\t]* |
| Hash raíz | Sí | 1 | rootHash=([^\t]+)[\t]* |
| Nombre de regla | Sí | 1 | ruleName=([^\t]+)[\t]* |
| Nombre de host de origen | Sí | 1 | srcHostName=([^\t]+)[\t]* |
| Proceso de origen | Sí | 1 | srcProcess=([^\t]+)[\t]* |
| Nombre de actualizador | Nee | 1 | updaterName=([^\t]+)[\t]* |
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0
La tabla siguiente muestra las propiedades personalizadas en IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0.
| Nombre | Descripción |
|---|---|
| Nombre de prohibición | Nombre prohibido que identifica el motivo por el que el agente Bit9 ha bloqueado el acceso al archivo. |
| Nombre de indicador | Nombre del indicador de amenaza asociado al suceso; si está presente. |
| Amenaza de archivo | Amenaza de archivo del Bit9 SRS del archivo asociado al suceso. Pendiente implica que la búsqueda de SRS aún no se ha realizado. Es un valor numérico: -2 Pendiente -1 Desconocido 0 No es amenaza 1 Riesgo potencial 2 Malintencionado. |
| Confianza de archivos | Confianza de archivo del Bit9 SRS del archivo asociado al suceso. Pendiente implica que la búsqueda de SRS aún no se ha realizado. Es un valor numérico: -2 Pendiente -1 Desconocido 0-10 Valor de confianza. |
| Clave de proceso | Clave propietaria exclusiva que identifica la instancia del proceso en un sistema específico. |
| Amenaza de proceso | Amenaza de proceso del Bit9 SRS del proceso asociado al suceso. Pendiente implica que la búsqueda de SRS aún no se ha realizado, pero se hará. |
| Confianza de proceso | Confianza de proceso del Bit9 SRS del proceso asociado al suceso. Pendiente implica que la búsqueda de SRS aún no se ha realizado, pero se hará. |
| Nombre de actualizador | Nombre del actualizador relacionado con el suceso. |