Linux

L'extension de contenu IBM Security QRadar Linux® ajoute de nouvelles propriétés d'événements personnalisés pour Linux.

Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Linux Content Extensions

Propriétés personnalisées dans l'extension de contenu Linux 1.1.3
Propriétés personnalisées dans l'extension de contenu Linux 1.1.2
Propriétés personnalisées dans l'extension de contenu Linux 1.1.1
Propriétés personnalisées dans l'extension de contenu Linux 1.1.0
Propriétés personnalisées dans l'extension de contenu Linux 1.0.1
Propriétés personnalisées dans l'extension de contenu Linux 1.0.0

Propriétés personnalisées dans l'extension de contenu Linux 1.1.3

Le tableau suivant présente les nouvelles propriétés personnalisées de l'extension de contenu IBM Security QRadar Linux 1.1.3 .

Tableau 1. Nouvelles propriétés personnalisées dans l'extension de contenu Linux 1.1.3
Nom	optimisé	Groupe de capture	Expression régulière
Extension de fichier	Oui	1	item = \d + name=" (?: [ ^ \" ] + \ /) * .. * ?\. ([ ^ \. ] ? (?:\. [ ^ \. ] ?){0,1}) "

Tableau 2. Nouveaux noms de propriété dans l' Linux 1.1.3
Ancien nom de propriété	Nom de la nouvelle propriété
GroupID	ID groupe
ID de machine	Identificateur de machine
Ligne de commande du processus	Commande
ID du processus	ID processus
UrlHost	Hôte de l'URL

Propriétés personnalisées dans l'extension de contenu Linux 1.1.2

Le tableau suivant présente les nouvelles propriétés personnalisées de l'extension de contenu IBM Security QRadar Linux 1.1.2 .

Tableau 3. Nouvelles propriétés personnalisées dans l'extension de contenu Linux 1.1.2
Nom	optimisé	Groupe de capture	Expression régulière
Type	Non	1	`type=([^\s]*)`
Nom du compte d'objet	Oui	1	`Account Name:\s+(.*?)\s+Account Domain:`

Propriétés personnalisées dans l'extension de contenu Linux 1.1.1

Le tableau suivant présente les propriétés personnalisées mises à jour dans l'extension de contenu IBM Security QRadar Linux 1.1.1 .

Tableau 4. Propriétés personnalisées dans Linux 1.1.1 Content Extension
Nom	optimisé	Groupe de capture	Expression régulière
Répertoire de fichiers	Oui	1	name=" (. *?) \/ "
ID processus	Oui	1	\bpid = (\d +) \bpid = (\d +) \ [ (\d +) \ ] \: \s \bpid = (\d +) pid = (\d +) pid = (\d +)

La description de la propriété Répertoire de fichiers a été mise à jour.

L'ID d'expression du nom de fichier a été mis à jour pour éviter les problèmes liés à un autre pack de contenu.

Propriétés personnalisées dans l'extension de contenu Linux 1.1.0

Le tableau suivant présente les propriétés personnalisées de l'extension de contenu IBM Security QRadar Linux 1.1.0 .

Tableau 5. Propriétés personnalisées dans l' Linux 1.1.0
Nom	optimisé	Groupe de capture	Expression régulière
Architecture	Oui	1	arch = ([0-9a-fA-F] +)
ID contrôle	Oui	1	auid = (\d +)
Type d'appel	Oui	1	syscall = (\d +)
Commande	Oui	1	crontab \ [ \d + \ ]: \s + $. * ?$ \s + ([ ^ \s ] +)
Arguments de commande	Oui	1	argc= \d + ((a\d + =" [ ^ "; ] +?"?) +)
Répertoire des fichiers codés	Oui	1	item = \d + name = ((?: [A-F0-9]{2}) * (?=2F(?: [A-F0-9]{2}) * \s)) item = \d + name = ([A-F0-9] +)
Nom de fichier codé	Oui	1	item = \d + name = (?: (?: [A-F0-9]{2})+2F) * ([A-F0-9] +)
Code d'erreur	Oui	1	exit = ([ ^ \s ] +)
Répertoire de fichiers	Oui	1	item = \d + name = \ " ([ ^ \s \" ] +) (?= \/) exe = \ " ([ \/ \w ] +) (?= \/) cwd=" (. ?) " name="(. ?) " \s
Extension de fichier	Oui	1	item = \d + name=" (?: [ ^ \" ] + \ /) . ?\. ([ ^ \. ] ? (?:\. [ ^ \. ] ?){0,1}) "
Autorisations d'accès aux fichiers	Oui	1	mode = (\d +)
filename	Oui	1	exe = \ ". ? \/ ([ ^ \/ ] ?) \" item = \d + name=" (?: [ ^ \" ] + \/) * ([ ^ \" ] +) "
Nom de groupe	Oui	1	group = ([ ^, ] +)
Répertoire principal	Non	1	PWD = (. *?) \s;
ID de machine	Oui	1	^ (?:\S + \s +){3}(\S +) \bnoeud = ([ ^ \s ] +)
ID du processus parent	Non	1	ppid = (\d +)
Ligne de commande du processus	Oui	1	CMD \ ((. ?) \) COMMANDE = (. )
ID du processus	Non	1	pid = (\d +) \bpid = (\d +)
Nom du processus	Oui	1	comm=" (\w +) "
Numéro d'enregistrement	Oui	1	msg=audit$. *?: (\d +) $
ID de terminal	Non	1	tty=pts (\d +)
UrlHost	Oui	1	(?: (? :http\|ftp\|tcp\|ssl\|https): \/\/) (. *?) (?=$\| \s \| \\ \| \" \| \/ \| \: \| \\|)

Les propriétés client suivantes sont supprimées de l'extension de contenu IBM Security QRadar Linux 1.1.0 :

Nom de l'ordinateur
Répertoire de processus

_{(Haut de la page)}

Propriétés personnalisées dans l'extension de contenu Linux 1.0.1

Le tableau suivant présente les propriétés personnalisées de l'extension de contenu IBM Security QRadar Linux 1.0.1 .

Tableau 6. Propriétés personnalisées dans l' Linux 1.0.1
Nom	optimisé	Groupe de capture	Expression régulière
Nom de l'ordinateur	Non	1	\bnoeud = ([ ^ \s ] +)
Répertoire de fichiers	Oui	1	exe = \ " ([ \/ \w ] +) (?= \/) PWD = ([ \/ \w ] +) (?= \/) script = ([ \/ \w ] +) (?= \/) item = \d + name=" ([ ^ \" ] *) \/ [ ^ \\ ] +? "
filename	Oui	1	exe = \ ". ? \/ ([ ^ \/ ] ?) \" PWD=. * \/ ([ ^ \/ ] ?) ; script =. \/ ([ ^, ] *), \saccount item = \d + name=" [ ^ \" ] + \/ ([ ^ \" ] +) "
ID groupe	Oui	1	(?i) gid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ /\d + \ / (\d +)
Ligne de commande du processus	Oui	1	ocomm=" ([ ^ \" ] +)
ID du processus	Non	1	\bpid = (\d +)
Nom du processus	Non	1	exe=". * \/ ([ ^ "] +)" DEMARRAGE \:\s ([ ^ \s ] +) EXIT \: \s ([ ^ \s ] +) exe = \ "[ ^ \" ] + \/ ([ ^" ] +)
Chemin d'accès au processus	Non	1	exe=" ([ ^ "] +)"
ID utilisateur	Oui	1	(?i) uid = (\d +)

_{(Haut de la page)}

Propriétés personnalisées dans l'extension de contenu Linux 1.0.0

Le tableau suivant présente les propriétés personnalisées de l'extension de contenu IBM Security QRadar Linux 1.0.0 .

Tableau 7. Propriétés personnalisées dans l' Linux 1.0.0
Nom	optimisé	Groupe de capture	Expression régulière
Application	Non	1	(\w +) \ [ \d + \ ] \:\s
Commande	Non	1	COMMANDE = ([ ^ \s ] +) exécution de \s ([ ^ \s ] +) \scommande
Nom de l'ordinateur	Non	1	node = ([ ^ \s ] +)
ID groupe effectif	Non	1	uid \/euid \/gid \/egid\s = \s\d + \ /\d + \ /\d + \ / (\d +)
ID utilisateur effectif	Non	1	euid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ / (\d +)
Répertoire de fichiers	Oui Oui	1 1	exe = \ " ([ \/ \w ] +) (?= \/) PWD = ([ \/ \w ] +) (?= \/) script = ([ \/ \w ] +) (?= \/)
filename	Oui Oui	1 1	exe = \ ". ? \/ ([ ^ \/ ] ?) \" PWD=. * \/ ([ ^ \/ ] ?) ; script =. \/ ([ ^, ] *), \saccount
Nom de groupe	Non	1	group = ([ ^, ] +)
GroupID	Non	1	gid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ /\d + \ / (\d +)
Répertoire principal	Non	1	accueil = ([ ^, ] +)
Direction du processus	Non	1	direction = ([ ^ \s ] +)
ID du processus	Non	1	pid = (\d +) \ [ (\d +) \ ] \: \s
Nom du processus	Non	1	exe=". * \/ ([ ^ "] +)" DEMARRAGE \:\s ([ ^ \s ] +) EXIT \: \s ([ ^ \s ] +)
Interpréteur de commandes	Non	1	shell = ([ ^, ] +)
ID utilisateur	Non	1	uid \/euid \/gid \/egid\s = \s (\d +) \/ uid = (\d +)

_{(Haut de la page)}