Mensaje de suceso de ejemplo de Cisco AMP
Utilice este suceso de ejemplo para verificar una integración satisfactoria con QRadar.
Importante: Debido a problemas de formato, pegue el formato del mensaje en un editor de texto y, a continuación, elimine los retornos de carro o los caracteres de salto de línea.
Mensaje de ejemplo de Cisco AMP cuando se utiliza el protocolo RabbitMQ
El siguiente mensaje de suceso de ejemplo muestra que se ha detectado una amenaza DFC.
{"id":6629038896162275332,"timestamp":1543443393,"timestamp_nanoseconds":258000000,"date":"2018-11-28T22:16:33+00:00","event_type":"DFC Threat Detected","event_type_id":1090519084,"detection_id":"6629038896162275330","connector_guid":"connector_guid","group_guids":["group_guids"],"severity":"High","computer":{"connector_guid":"connector_guid","hostname":"example.com","external_ip":"172.16.0.0","user":"root","active":true,"network_addresses":[{"ip":"172.16.0.0","mac":"00-00-5E-00-53-00"}],"links":{"computer":"computer","trajectory":"trajectory","group":"group"}},"network_info":{"remote_ip": "172.16.0.1","remote_port": 443,"local_ip": "10.51.100.0","local_port": 55807,"nfm":{"direction":"Outgoing connection from","protocol":"UDP"},"parent":{"process_id":2608,"disposition":"Clean","file_name":"chrome.exe","identity": {"sha256": "sha256","sha1": "sha1","md5": "md5"}}}}| QRadar Nombre del campo de | Nombre de campo de carga útil resaltado |
|---|---|
| ID de suceso | id_tipo_suceso |
| Categoría | CiscoAMP |
| IP de origen | ip_local |
| Puerto de origen | puerto_local |
| Direcciones de red | ip_remota |
| Puerto de destino | puerto_remoto |
| Hora de origen de registro | indicación de fecha y hora |