Comparateur (matcher)

Une entité de comparateur (matcher) est un champ qui est analysé, par exemple, EventName, et est jumelé avec le motif et le groupe appropriés pour l'analyse.

Les comparateurs ont un ordre associé. Si plusieurs comparateurs sont spécifiés pour le même nom de domaine, les comparateurs sont exécutés dans l'ordre qui est présenté, jusqu'à ce qu'une analyse syntaxique réussie soit trouvée ou qu'un échec se produise.

Tableau 1. Description des paramètres de comparateur
Paramètre	Descriptif
`field` (obligatoire)	Champ auquel vous souhaitez appliquer le motif, par exemple, EventName, ou SourceIp. Vous pouvez utiliser n'importe quel nom de zone répertorié dans la table Liste des noms de zone de comparateur valides .
`pattern-id` (obligatoire)	Motif que vous souhaitez utiliser lorsque le champ est analysé à partir du contenu. Cette valeur doit correspondre (y compris la casse) au paramètre d'ID du modèle précédemment défini dans un paramètre d'ID de modèle (Tableau 1).
`order` (obligatoire)	Ordre dans lequel vous souhaitez que ce motif fasse des tentatives parmi les comparateurs qui sont affectés à un même champ. Si deux comparateurs sont affectés au champ EventName, celui dont l'ordre est le plus faible est tenté en premier.
`capture-group` (facultatif)	Référencé dans l'expression régulière entre parenthèses (). Ces captures sont indexées en commençant par l'une d'entre elles et sont traitées de gauche à droite dans le modèle. Le champ `capture-group` doit être un entier positif inférieur ou égal au nombre de groupes de capture qui figurent dans le motif. La valeur par défaut est zéro, ce qui constitue l'intégralité de la concordance. Par exemple, vous pouvez définir un motif unique pour une adresse IP source et le port ; où le comparateur SourceIp peut utiliser un groupe de capture de 1, et le comparateur SourcePort peut utiliser un groupe de capture de 2, mais uniquement un motif doit être défini. Ce champ a un double objectif lorsqu'il est combiné au paramètre `enable-substitutions`. Pour voir un exemple, consultez l' exemple de document d'extension.
`enable-substitutions` (facultatif)	Booléen Lorsque vous sélectionnez `true`, un champ ne peut pas être correctement représenté avec une capture de groupe linéaire. Vous pouvez combiner plusieurs groupes avec le texte supplémentaire pour former une valeur. Ce paramètre change la signification du paramètre `capture-group`. Le paramètre `capture-group` crée la nouvelle valeur, et des substitutions de groupe sont spécifiées en utilisant `\x` où `x` est un numéro de groupe, 1 à 9. Vous pouvez utiliser des groupes à plusieurs reprises, et tout texte de forme libre peut également être inséré dans la valeur. Par exemple, pour former une valeur hors du groupe 1, suivie par un tiret, suivi par le groupe 2, un @, puis à nouveau le groupe 1, la syntaxe de capture-group appropriée est indiquée dans le code suivant : `capture-group=”\1_\2@\1”` Dans un autre exemple, une adresse MAC est séparée par des signes deux-points, mais dans QRadar, les adresses MAC sont généralement séparées par des traits d'union. La syntaxe pour analyser et capturer les portions individuelles est indiquée dans l'exemple suivant : `capture-group=”\1:\2:\3:\4:\5:\6”` Si aucun groupe n'est spécifié dans le groupe de capture lorsque des substitutions sont activées, un remplacement de texte direct se produit. La valeur par défaut est false.
`ext-data` (facultatif)	Un paramètre ext-data qui définit les informations de champ supplémentaire ou le formatage qu'un champ de comparateur peut fournir dans l'extension. La seule zone qui utilise actuellement ce paramètre est DeviceTime. Par exemple, vous pourriez avoir un périphérique qui envoie des événements en utilisant un horodatage unique, mais vous souhaitez que l'événement soit reformaté à une heure du périphérique standard. Utilisez le paramètre ext-data inclus avec le champ DeviceTime pour reformater la date et l'heure de l'événement. Pour plus d'informations, voir Liste des noms de zone de comparateur valides.

Le tableau suivant répertorie les noms de champs de comparateur valides.

Tableau 2. Liste des noms de champs de comparateur valide
Nom de zone	Descriptif
EventName (obligatoire)	Nom de l'événement à extraire à partir du QID pour identifier l'événement. Remarque: Ce paramètre n'apparaît pas en tant que zone dans l'onglet Activité du journal .
EventCategory cat (LEEF)	Une catégorie d'événement pour un événement avec une catégorie non gérée par une entité event-match-single ou une entité event-match-multiple. Combiné à EventName, EventCategory est utilisé pour rechercher l'événement dans le QID. Les zones utilisées pour les recherches QIDmap requièrent la définition d'un indicateur de substitution lorsque les périphériques sont déjà connus de QRadar, par exemple, `<event-match-single event-name= "Successfully logged in" force-qidmap-lookup-on-fixup="true" device-event-category="CiscoNAC" severity="4" send-identity= "OverrideAndNeverSend" />` `force-qidmap-lookup-on-fixup="true"` est la substitution de l'indicateur. Remarque: Ce paramètre n'apparaît pas en tant que zone dans l'onglet Activité du journal .
SourceIp src (LEEF)	Adresse IP source pour le message.
SourcePort srcPort (LEEF)	Port source pour le message.
SourceIpPreNAT srcPreNAT (LEEF)	Adresse IP source pour le message avant la traduction d'adresses réseau (NAT).
SourceIpPostNAT srcPostNAT (LEEF)	Adresse IP source pour le message après la NAT.
SourceMAC srcMAC (LEEF)	Adresse MAC source pour le message.
SourcePortPreNAT srcPreNATPort (LEEF)	Port source pour le message avant la NAT.
SourcePortPostNAT srcPostNATPort (LEEF)	Port source pour le message après la NAT.
DestinationIp dst (LEEF)	Adresse IP de destination pour le message.
DestinationPort dstPort (LEEF)	Port destination pour le message.
DestinationIpPreNAT dstPreNAT (LEEF)	Adresse IP de destination pour le message avant la NAT.
DestinationIpPostNAT dstPostNAT (LEEF)	Adresse IP de destination pour le message après la NAT.
DestinationPortPreNAT dstPreNATPort (LEEF)	Port de destination pour le message avant la NAT.
DestinationPortPostNAT dstPostNATPort (LEEF)	Port de destination pour le message après la NAT.
DestinationMAC dstMAC (LEEF)	Adresse MAC de destination pour le message.
DeviceTime devTime (LEEF)	Temps et format utilisés par le périphérique. Cette date et l'heure représentent le moment où l'événement a été envoyé, selon le dispositif. Ce paramètre ne représente pas le moment où l'événement est arrivé. Le champ `DeviceTime` prend en charge la capacité d'utiliser une date et une heure personnalisées pour l'événement en utilisant l'attribut de comparateur ext-data. La liste suivante contient des exemples de formats de date et heure que vous pouvez utiliser dans le champ `DeviceTime` : ext-data="dd/MMM/YYYY:hh:mm:ss" 11/Mar/2015:05:26:00 ext-data="MMM dd YYYY / hh:mm:ss" Mar 11 2015 / 05:26:00 ext-data="hh:mm:ss:dd/MMM/YYYY" 05:26:00:11/Mar/2015 Pour plus d'informations sur les valeurs possibles pour le format de données et d'horodatage, voir la page Web Joda-Time (http://www.joda.org/joda-time/key_format.html). DeviceTime est le seul champ d'événement qui utilise le paramètre facultatif ext-data.
Protocole proto (LEEF)	Protocole du message, par exemple, TCP, UDP ou ICMP.
UserName	Nom d'utilisateur du message.
HostName identHostName (LEEF)	Nom d'hôte du message. Typiquement, ce champ est associé à des événements d'identité.
GroupName identGrpName (LEEF)	Nom de groupe du message. Typiquement, ce champ est associé à des événements d'identité.
IdentityIp	Adresse IP d'identité du message.
IdentityMac IdentMAC (LEEF)	Adresse MAC de l'identité du message.
IdentityIpv6	Adresse IP de l'identité IPv6 du message.
NetBIOSName identNetBios (LEEF)	Nom NetBIOS du message. Typiquement, ce champ est associé à des événements d'identité.
ExtraIdentityData	Toutes les données spécifiques à l'utilisateur pour le message. Typiquement, ce champ est associé à des événements d'identité.
SourceIpv6	Adresse IP source IPv6 pour le message.
DestinationIpv6	Adresse IP de destination IPv6 pour le message.