osquery

Utilisez la IBM Security QRadar osquery Custom Properties Content Extension pour surveiller de près les appareils Linux® à l'aide d'osquery.

Remarque: cette extension de contenu ne s'installe pas lorsque la propriété personnalisée Parent Filename est présente dans Cisco AMP 1.0.0. Supprimez Nom de fichier parent avant d'installer cette extension de contenu.
Important: Pour éviter les erreurs de contenu dans cette extension de contenu, tenez à jour les DSM associés. Les DSM sont mis à jour dans le cadre des mises à jour automatiques. Si les mises à jour automatiques ne sont pas activées, téléchargez la version la plus récente des DSM associés à partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar osquery Custom Properties Content Extension

IBM Security QRadar osquery Custom Properties Content Extension 1.0.2

Le tableau suivant présente les propriétés personnalisées nouvelles et mises à jour dans IBM Security QRadar osquery Custom Properties Content Extension 1.0.2.

Tableau 1. Propriétés personnalisées nouvelles et mises à jour dans IBM Security QRadar osquery Custom Properties Content Extension 1.0.2
Nom optimisé Groupe de capture d'expression régulière Expression régulière
ID processus Oui 1 x_forwarded_for_header_value = "([ ^" ] *) "

IBM Security QRadar osquery Custom Properties Content Extension 1.0.1

Le tableau suivant présente les propriétés personnalisées nouvelles et mises à jour dans IBM Security QRadar osquery Custom Properties Content Extension 1.0.1.

Tableau 2. Nouvelles propriétés personnalisées et mises à jour dans IBM Security QRadar osquery Custom Properties Content Extension 1.0.1
Nom optimisé Groupe de capture d'expression régulière Expressions
Image de conteneur Oui 1
Expression régulière
\bimage ":" ([ ^ \s "] +)". * action ": "added"
JSON
/ "colonnes" / "image"
ID image de conteneur Oui 1
Expression régulière
\bimage_id ":" ([ ^ \s "] +)". * action ": "added"
JSON
/ "columns" / "id_image"

IBM Security QRadar osquery Custom Properties Content Extension 1.0.0

Le tableau suivant présente les propriétés personnalisées d' IBM Security QRadar osquery Custom Properties Content Extension 1.0.0.

Tableau 3. Propriétés personnalisées dans IBM Security QRadar osquery Custom Properties Content Extension 1.0.0
Nom optimisé Groupe de capture d'expression régulière Expressions
ID de conteneur Oui 1
Expression régulière
\bid ":" ([ ^ \s "] +)"
\bcontainer_id ":" ([ ^ \s "] +)"
JSON
/ "colonnes" / "id"
/ "columns" / "id_conteneur"
Image de conteneur Non 1
Expression régulière
\bimage ":" ([ ^ \s "] +)". * action ": "added"
JSON
/ "colonnes" / "image"
ID image de conteneur Non 1
Expression régulière
\bimage_id ":" ([ ^ \s "] +)". * action ": "added"
JSON
/ "columns" / "id_image"
Nom du conteneur Non 1
Expression régulière
\bcontainer_name ":" \/{0,1}([ ^ \" ] +)
Point de montage de destination Non  
JSON
/ "colonnes" / "destination"
Répertoire de fichiers Oui 1
Expression régulière
\btarget_path [ \" :\s ] + ([ ^ \" ] +) \/ [ ^ \" ] +
Extension de fichier Oui 1
Expression régulière
\btarget_path ":". * ?\/ [ ^ \/ ] + \. ([ ^ \/\. ] *?)"
Autorisations d'accès aux fichiers Oui  
JSON
/ "colonnes" / "mode"
filename Oui 1
Expression régulière
\btarget_path [ \" :\s ] + [ ^ \" ] + \/ ([ ^ \" \/ ] +) "
GroupID Oui  
JSON
/ "colonnes" / "gid"
Balise d'image Non 1
Expression régulière
\btags ":" ([ ^ \" ] +) "
JSON
/ "colonnes" / "balises"
Nom du processus parent Oui 1
Expression régulière
\bparent_process_name ":" ([ ^ \" ] +) ". * "action": "added "
JSON
/ "columns" / "nom_processus_parent"
Chemin du processus parent Oui 1
Expression régulière
parent_process_path ":" ([ ^ \" ] +) ". *?" action ":" a ajouté "
JSON
/ "columns" / "chemin_processus_parent"
Conteneur privilégié Oui 1
Expression régulière
\bprivileged ":" (\d) ". * "action": "added "
JSON
/ "colonnes" / "privilégié"
Ligne de commande du processus Oui 1
Expression régulière
cmdline ":" (. *?) ". *" action ":" ajouté "
JSON
/ "colonnes" / "ligne de commande"
ID du processus Non 1
Expression régulière
\bpid ":" (\d +) "
JSON
/ "colonnes" / "pid"
Nom du processus Oui 1
Expression régulière
\bprocess_name ":" ([ ^ \" ] +) ". * action": "added
JSON
/ "columns" / "nom_processus"
Détails règle Oui  
JSON
/ "columns" / "règle_détails"
Hachage SHA256 Oui 1
Expression régulière
\bsha256": \s*" ([ ^ \" ] +) ". * action": "added
JSON
/ "colonnes" / "sha256"
Point de montage source Oui  
JSON
/ "colonnes" / "source"
Nom d'utilisateur cible Oui  
JSON
/ "columns" / "en-tête"
/ "colonnes" / "nom d'utilisateur"
ID utilisateur Oui  
JSON
/ "colonnes" / "uid"