Attributs d'événement prédéfinis LEEF
Le format LEEF (Log Event Extended Format) prend en charge un certain nombre d'attributs d'événement prédéfinis pour le contenu de l'événement.
LEEF utilise une liste spécifique de paires nom-valeur qui sont des attributs d'événement LEEF prédéfinis. Ces clés décrivent les zones qui sont identifiables pour IBM® Security QRadar®. Utilisez ces clés sur votre dispositif lorsque cela est possible, mais vos charges d'événement ne sont pas limitées par cette liste. LEEF est extensible et vous pouvez ajouter plusieurs clés au contenu d'événements correspondant à votre appareil ou application.
Le tableau suivant décrit les attributs d'événement prédéfinis.
| Clé | Type de valeur | Champ d'événement normalisé ? Oui ou Non | Descriptif |
|---|---|---|---|
| cat | Chaîne | Oui | Une abréviation de catégorie d'événement est utilisée pour étendre la zone EventID avec des informations plus spécifiques sur l'événement LEEF qui est transmis à QRadar. Cat et la zone EventID de l'en-tête LEEF permettent de mapper l'événement de votre dispositif à une entrée de mappe QRadar Identifier (QID). EventID représente la première colonne et la catégorie représente la seconde colonne de la mappe QID. Restriction: la valeur de la catégorie d'événement doit être cohérente et statique entre les produits qui prennent en charge plusieurs langues. Si votre produit prend en charge les événements en plusieurs langues, vous pouvez
utiliser une valeur numérique ou textuelle dans la zone cat. La valeur de la
zone cat ne doit pas être traduite lorsque la langue de votre appareil ou
l'application est modifiée.
|
cat (Suite) |
Chaîne | Oui | Exemple 1 : Utilisez la clé cat pour étendre EventID avec des informations supplémentaires décrivant l'événement. Si EventID est défini comme un événement de connexion utilisateur, utilisez la catégorie pour classer plus finement l'événement, comme un succès ou un échec de connexion. Vous pouvez définir vos EventIDs de façon plus détaillée grâce à la clé cat. Le détail supplémentaire de l'événement peut être utilisé pour distinguer les événements lorsque le même EventID est utilisé pour les types d'événements similaires, par exemple, LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Failed LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Success Exemple 2: Utilisez la clé cat pour définir une catégorie d'événement de haut niveau et utilisez EventID pour définir le niveau bas. Cette situation peut être importante lorsque EventID ne correspond à aucune valeur dans la mappe QID. Lorsque EventID ne correspond à aucune valeur de la mappe QID, QRadar peut utiliser la catégorie et d'autres clés pour déterminer plus précisément la nature générale de l'événement. Cette "rétromigration" empêche les événements d'être identifiés comme inconnus et QRadar peut catégoriser les événements en fonction des informations connues provenant des zones d'attribut de clé de la charge d'événement, par exemple, LEEF:1.0|Microsoft|Endpoint|2015| Conficker_worm|cat=Detected |
| devTime | Date : | Oui | La date et l'heure brutes de l'événement qui sont générées par votre appareil ou application qui fournit l'événement LEEF. QRadar utilise la clé devTime , ainsi que devTimeFormat , pour identifier et formater correctement l'heure d'événement à partir de votre dispositif ou application. Si la valeur devTime est une valeur d'époque à 10 ou 13 chiffres, une chaîne devTimeFormat n'est pas obligatoire. Sinon, les clés devTime et devTimeFormat doivent être utilisées ensemble pour garantir que l'heure de l'événement est correctement analysée par QRadar. Lorsqu'il est présent dans le contenu de l'événement, devTime est utilisé pour identifier le temps de l'événement, même lorsque l'en-tête syslog contient une date et un horodatage. La date et l'horodatage de l'en-tête syslog sont un identifiant de secours, mais devTime est la méthode préférée pour l'identification du temps de l'événement. |
| devTimeFormat | Chaîne | Non | Applique une mise en forme à la date et à l'heure brutes de devTime key. La clé devTimeFormat est requise si le journal des événements contient devTime. Pour plus d'informations, voir Format de date d'événement personnalisé. |
| proto | Entier ou mot-clé | Oui | Identifie le protocole de transport de l'événement. Pour une liste des mots-clés ou des valeurs entières, consultez le site web Internet Assigned Numbers Authority, http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml |
| sev | Entier | Oui | Indique la gravité de l'événement. 1 est la plus faible gravité d'événement. 10 est la gravité d'événement la plus élevée. Limites d'attribut : 1-10 |
| src | Adresse IPv4 ou IPv6 | Oui | Adresse IP de la source de l'événement. |
| dst | Adresse IPv4 ou IPv6 | Oui | Adresse IP de la destination d'événement. |
| srcPort | Entier | Oui | Port source de l'événement. Limites d'attribut : 0 - 65535 |
| dstPort | Entier | Oui | Port de destination de l'événement. Limites d'attribut : 0 - 65535 |
| srcPreNAT | Adresse IPv4 ou IPv6 | Oui | Adresse IP source du message d'événement avant la traduction d'adresses réseau (NAT). |
| dstPreNAT | Adresse IPv4 ou IPv6 | Oui | Adresse de destination du message de l'événement avant la traduction d'adresses réseau (NAT). |
srcPostNAT |
Adresse IPv4 ou IPv6 | Oui | Adresse IP source du message après la traduction d'adresses réseau (NAT). |
| dstPostNAT | Adresse IPv4 ou IPv6 | Oui | Adresse IP de destination du message après la traduction d'adresses réseau (NAT). |
| usrName | Chaîne | Oui | Nom d'utilisateur qui est associé à l'événement. Limites d'attribut : 255 |
| srcMAC | Adresse MAC | Oui | L'adresse MAC de la source de l'événement est hexadécimale. L'adresse MAC est composée de six groupes de deux chiffres hexadécimaux, qui sont séparés par une virgule, par exemple,
|
| dstMAC | Adresse MAC | Oui | L'adresse MAC de la destination de l'événement est hexadécimale. L'adresse MAC est composée de six groupes de deux chiffres hexadécimaux, qui sont séparés par une virgule, par exemple,
|
| srcPreNATPort | Entier | Oui | Numéro de port de la source d'événement avant la traduction d'adresses réseau (NAT). Limites d'attribut : 0 - 65535 |
| dstPreNATPort | Entier | Oui | Numéro de port de la destination d'événement avant la traduction d'adresses réseau (NAT). Limites d'attribut : 0 - 65535 |
| srcPostNATPort | Entier | Oui | Numéro de port de la source d'événement après la traduction d'adresses réseau (NAT). Limites d'attribut : 0 - 65535 |
| dstPostNATPort | Entier | Oui | Numéro de port de la destination d'événement après la traduction d'adresses réseau (NAT). Limites d'attribut : 0 - 65535 |
| identSrc | Adresse IPv4 ou IPv6 | Oui | La source d'identité représente une adresse IPv4 ou IPv6 supplémentaire qui peut connecter un événement à une identité d'utilisateur réelle ou à une identité d'ordinateur réelle. Exemple 1 : connexion d'un utilisateur à une identité réseau. L'utilisateur X se connecte à partir de son ordinateur portable et se connecte ensuite à un système partagé sur le réseau. Lorsque son activité génère un événement, la clé identSrc indiquée dans le contenu peut être utilisée pour inclure davantage d'informations sur l'adresse IP. QRadar utilise les informations identSrc de l'événement avec les informations de contenu, telles que username, pour identifier que l'utilisateur X est bob.smith. Les clés d'identité suivantes dépendent de la présence de la clé identSrcs dans le contenu de l'événement : identHostName identNetBios identGrpName identMAC |
| identHostName | Chaîne | Clé | Informations de nom d'hôte qui sont associées à identSrc pour identifier plus précisément le véritable nom d'hôte lié à un événement. Le paramètre identHostName est utilisable par QRadar uniquement lorsque votre terminal fournit à la fois la clé identSrc et identHostName dans une charge d'événement. Limites d'attribut : 255 |
| identNetBios | Chaîne | Oui | Nom NetBIOS associé à identSrc pour identifier plus précisément l'événement d'identité avec la résolution de nom NetBIOS. Le paramètre identNetBios est utilisable par QRadar uniquement lorsque votre terminal fournit à la fois la clé identSrc et identNetBios dans une charge d'événement. Limites d'attribut : 255 |
| identGrpName | Chaîne | Oui | Nom de groupe associé à identSrc pour identifier plus précisément l'événement d'identité avec la résolution de nom de groupe. Le paramètre identGrpName est utilisable par QRadar uniquement lorsque votre terminal fournit à la fois la clé identSrc et identGrpName dans une charge d'événement. Limites d'attribut : 255 |
| identMAC | Adresse MAC | Oui | Réservé pour utilisation future dans le format LEEF. |
| vSrc | Adresse IPv4 ou IPv6 | Non | Adresse IP de la source de l'événement virtuel. |
| vSrcName | Chaîne | Non | Nom de la source de l'événement virtuel. Limites d'attribut : 255 |
| accountName | Chaîne | Non | Nom de compte associé à l'événement. Limites d'attribut : 255 |
| srcBytes | Entier | Non | Indique le nombre d'octets à partir de la source d'événement. |
| dstBytes | Entier | Non | Indique le nombre d'octets vers la destination d'événement. |
| srcPackets | Entier | Non | Indique le nombre de paquets à partir de la source d'événement. |
| dstPackets | Entier | Non | Indique le nombre de paquets vers la destination d'événement. |
totalPackets |
Entier | Non | Indique le nombre total de paquets transmis entre la source et la destination. |
| role | Chaîne | Non | Type de role associé au compte utilisateur qui a créé l'événement, par exemple, administrateur, utilisateur, administrateur de domaine. |
| realm | Chaîne | Non | Domaine (realm) associé au compte utilisateur. Selon votre appareil, peut être un groupement général ou sur la base de la région, par exemple, comptabilité, bureaux distants.. |
| policy | Chaîne | Non | Règle (policy) associée au compte utilisateur. Cette règle (policy) est généralement la politique de sécurité, ou la politique du groupe qui est liée au compte d'utilisateur. |
| resource | Chaîne | Non | Règle (resource) associée au compte utilisateur. Cette ressource (resource) est généralement le nom de l'ordinateur. |
| url | Chaîne | Non | Informations d'URL incluses avec l'événement. |
| groupID | Chaîne | Non | groupID associé au compte utilisateur. |
| domain | Chaîne | Non | domain associé au compte utilisateur. |
| isLoginEvent | Chaîne booléenne | Non | Identifie si l'événement est lié à une connexion de l'utilisateur, par exemple, isLoginEvent=true isLoginEvent=false Cette clé est réservée dans la spécification LEEF, mais n'est pas implémentée dans QRadar. Limites d'attribut : true ou false |
| isLogoutEvent | Chaîne booléenne | Non | Identifie si l'événement est lié à une déconnexion de l'utilisateur, par exemple, isLogoutEvent=true isLogoutEvent=false Cette clé est réservée dans la spécification LEEF, mais n'est pas implémentée dans QRadar. Limites d'attribut : true ou false |
| identSecondlp | Adresse IPv4 ou IPv6 | Non | La deuxième adresse IP d'identité représente une adresse IPv4 ou IPv6 utilisée pour associer un événement de dispositif qui comprend une adresse IP secondaire. Les adresses IP secondaires peuvent être dans des événements par des routeurs, des commutateurs ou des événements de périphériques de réseau local virtuel (VLAN). Cette clé est réservée dans la spécification LEEF, mais n'est pas implémentée dans QRadar. |
| calLanguage Limites d'attribut : 2 |
Chaîne | Non | Identifie la langue de la clé d'heure du périphérique (devTime) pour permettre la traduction et pour s'assurer que QRadar analyse correctement la date et l'heure des événements générés dans les langues traduites. La zone calLanaguage peut inclure deux caractères alphanumériques pour représenter la langue de l'événement pour l'heure de l'unité de votre événement. Tous les caractères alphanumériques calLanguage suivent la norme ISO 639-1, par exemple, calLanguage=fr devTime=avril 09 2014 12:30:55 calLanguage=de devTime=Di 30 Jun 09 14:56:11 Cette clé est réservée dans la spécification LEEF, mais n'est pas implémentée actuellement dans QRadar. Limites d'attribut : 2 |
| calCountryOrRegion | Chaîne | Non | Etend la clé calLanguage pour fournir des informations de traduction supplémentaires pouvant inclure le pays ou la région pour l'heure du périphérique d'événement (devTime). La clé calCountryOrRegion doit être utilisée avec la clé calLanguage . Le champ calCountryOrRegion peut inclure deux caractères alphanumériques pour représenter le pays ou la région de l'événement pour le temps de l'appareil de votre événement. Tous les caractères alphanumériques calCountryOrRegion sont au format ISO 3166, par exemple, calLanguage=de calCountryOrRegion=DE devTime=Di 09 Jun 2014 12:30:55 calLanguage=en calCountryOrRegion=US devTime=Tue 30 Jun 09 Cette clé est réservée dans la spécification LEEF, mais n'est pas implémentée dans QRadar. Limites d'attribut : 2 |
key=([^\t]+).- L'entrée pour vSrc est
vSrc=([^\t]+). - L'entrée pour vSrcName est
vSrcName=([^\t]+). - L'entrée pour accountName est
accountName=([^\t]+).
- Si vous utilisez # comme délimiteur, l'entrée pour vSrc est
vSrc=([^#]+). - Si vous utilisez | comme délimiteur, l'entrée pour vSrc est
vSrc=([^|]+).
QRadar V7.3.2 ou ultérieure inclut la détection automatique des propriétés pour les propriétés personnalisées des attributs d'événement LEEF prédéfinis et personnalisés. La détection automatique des propriétés facilite la configuration des propriétés personnalisées, sans utiliser d'expressions régulières.