Filtro de sucesos

Puede configurar el agente WinCollect 10 para incluir o excluir sucesos específicos recopilados del registro de sucesos de Windows. Mediante el filtrado de sucesos, puede recopilar sucesos que sean de valor para el usuario mientras limita el total de sucesos por segundo (EPS) que se envían a QRadar®.

El agente de WinCollect solicita todos los sucesos disponibles de la API de recopilación de sucesos cada vez que caduca el valor especificado en el campo Intervalo de sondeo . A continuación, el agente examina todos los sucesos que se recuperan de la API de recopilación de sucesos e ignora o incluye sucesos que coinciden con el filtro. A continuación, el agente ensambla los pares nombre=valor de los sucesos restantes y reenvía los sucesos a la consola de QRadar o al dispositivo del recopilador de sucesos.

Los filtros de sucesos como, por ejemplo, exclusión, inclusión y NSA están disponibles para los siguientes tipos de origen:

Seguridad
Sistema
Aplicación
Servidor DNS
Servicio de directorio
Sucesos reenviados

WinCollect 10 ya no utiliza un campo independiente para los filtros de inclusión o exclusión. La sintaxis que utiliza en el filtro especifica si desea incluir o excluir sucesos.

Sintácticamente, WinCollect utiliza tres tipos de filtros:

Filtro de inclusión/exclusión basado implícitamente en el campo EventIDCode
Especificación de campo explícita con operadores lógicos y de comparación
Filtro de sucesos reenviados

Filtro de inclusión/exclusión basado implícitamente en el campo EventIDCode

Filtro de inclusión

Un filtro de inclusión es un filtro que desea que el agente envíe estos sucesos a QRadar. La sintaxis para ello es especificar los ID. Se pueden separar varios ID mediante comas o se puede especificar un rango de ID. El ejemplo siguiente incluye los ID de suceso 7000, cualquiera en el rango 7022-7026, 7031-7034 y 7045:

7000,7022-7026,7031-7034,7045

Filtro de exclusión

Un filtro de exclusión es un filtro que desea que el agente excluya del envío de estos sucesos a QRadar. La sintaxis es similar al filtro de inclusión; La diferencia es que envuelve todo entre paréntesis y añade un guión al principio del filtro. El ejemplo siguiente excluye los ID de suceso 7000, cualquiera en el rango 7022-7026, 7031-7034 y 7045:

-(7000,7022-7026,7031-7034,7045)

El filtro implícito debe ser una lista separada por comas de los ID de suceso que se van a incluir. Cada valor puede ser un único número o un rango. Los sucesos que no tienen un ID de suceso que coincida con el filtro se excluyen de forma predeterminada.

Tabla 1. Tipos de valores de ID de suceso
Tipo	Ejemplo	Función
Número	100	Incluye ese ID de suceso (por ejemplo, 100)
Rango	200-300	Incluye todos los ID de suceso dentro de ese rango, incluidos (por ejemplo, 200, 201, 250, 299, 300)
Rango (sin máx.)	50-	Incluye todos los ID de suceso mayores o iguales que el ID de suceso (por ejemplo, 50, 51, 1000, 2000)
Rango (sin min.)	-50	Incluye todos los ID de suceso menores o iguales que el ID de suceso (por ejemplo, 1, 2, 25, 49, 50)

Por ejemplo, el filtro siguiente incluye los ID de suceso de 0 a 10, los ID de suceso de 12 a 16, el ID de suceso 17 y cualquier ID de suceso que sea 20 o superior:

-10, 12-16, 17, 20-

Nota: Se incluye un rango de ID de suceso, independientemente de su posición en la lista. Por ejemplo, el filtro siguiente incluye todos los ID de suceso de 0 a 30:

5, 10, 15-20, 25, -30

Especificación de campo explícita con operadores lógicos y de comparación

La especificación de campo explícita es el método más versátil para filtrar sucesos. Puede filtrar sucesos por los valores de los diversos campos de la carga útil.

El campo y los valores se evalúan basándose en los operadores de comparación:

Operador	Descripción	Ejemplo	Explicación
`==`	Igual que	`Source == Outlook`	Incluir sucesos donde el campo Origen en la carga útil es igual a "`Outlook`".
`!=`	No igual a	`Source != Outlook`	Incluir sucesos en los que el campo Origen de la carga útil no es igual a "`Outlook`".
`=~`	Coincide con	`Message =~ "calc.exe"`	Incluir sucesos donde "`calc.exe`" forma parte del campo Mensaje .
`!~`	NO coincide con	`Message !~ calc.exe`	Incluir sucesos donde "calc.exe" no forma parte del campo Mensaje .
`>`	Mayor que	`EventID > 100`	Incluir sucesos donde EventID es mayor que 100.
`>=`	Mayor que (o igual a)	`EventID >= 100`	Incluir sucesos donde EventID es mayor o igual que 100.
`<`	Menor que	`EventID < 100`	Incluir sucesos donde EventID es menor que 100.
`<=`	Menor que (o igual a)	`EventID <= 100`	Incluir sucesos donde EventID es menor o igual que 100.

Los operadores lógicos se pueden utilizar para unir varias condiciones.

Operador	Ejemplo	Explicación
`AND`	`Source == Outlook AND EventID != 9000`	Incluya un suceso en el que el campo Origen sea "`Outlook`" Y el EventID no sea 9000.
`OR`	`Source == Outlook OR EventID != 9000`	Incluya un suceso donde el campo Origen sea igual a "`Outlook`" O el EventID no sea 9000.

Características de sintaxis adicionales y caracteres especiales

Comas

Ahora los filtros pueden especificar varios valores para un campo separándolos con una coma. Ejemplo:

Source == Outlook, MsiInstaller

En este ejemplo, la coma se trata como un operador OR, lo que significa que este filtro permite sucesos que tienen un campo Origen de "Outlook" o "MsiInstaller". El mismo filtro se puede configurar en un formato más largo y conseguir los mismos resultados. Ejemplo:

Source == Outlook OR Source == MsiInstaller

Sugerencia: No es necesario un espacio después de la coma.

Comillas

Los filtros pueden contener comillas simples y dobles. Ejemplos:

Message == "this is a test"

Message == 'this is a test'

Caracteres comodín

Las expresiones que utilizan los operadores matches o does not match también soportan el uso de varios símbolos especiales:

Carácter	Descripción
`?`	Coincide con cualquier carácter único
`*`	Coincide con cualquier número de caracteres
`#n`	Coincide con un único número, `n`
`#n-m`	Coincide con cualquier número en el rango de `n` a `m`
`##`	Coincide con el carácter literal, `#`

Por ejemplo, la expresión siguiente es verdadera para sucesos en los que el campo Mensaje es igual a "

Error 3: An error has occurred. Shutting
down.

" pero no a "Error 10: An error has occurred. Shutting down." o "

Error 5: An error has occurred. No action
taken.

Message =~ Error #2-6: * Shutting down.

Filtro de sucesos reenviados

Un canal o origen de sucesos reenviados recibe sucesos de varios registros de Windows. El filtro Sucesos reenviados requiere que identifique el origen o canal, con los EventIDs que desea filtrar entre paréntesis. Utilice signos de punto y coma como delimitadores.

Ejemplo:

Application(200-256,4097,34);Security(1);Symantec(1,13)

En este ejemplo, los ID de suceso 200-256, 4097 y 34 se filtran para el canal "Application". EventID 1 se filtra por Seguridad y EventIDs 1 y 13 se filtran por el origen denominado "Symantec".

Una lista vacía no incluye ningún EventIDs. Por ejemplo, este filtro no incluye ningún suceso:

Security()

Filtrado NSA

El filtro NSA está disponible como un filtro predefinido. Puede seleccionar Filtrado de NSA en el menú de filtros predefinidos sólo si ha seleccionado Seguridad, Sistema, Aplicacióno Servidor DNS como canal.