CrowdStrike Falcon Host のサンプル・イベント・メッセージ

このサンプル・イベント・メッセージは、 IBM QRadarとの統合が正常に行われたことを確認するために使用します。

重要: フォーマットの問題が原因で、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。

Syslog プロトコルを使用する場合の CrowdStrike Falcon Host サンプル・メッセージ

以下のサンプルは、既知のマルウェアがホスト上の文書にアクセスしたときに生成された検出サマリー・イベントを示しています。 このイベントには、文書の詳細および文書がアクセスされた時刻が含まれています。

LEEF:1.0|CrowdStrike|FalconHost|1.0|Suspicious Activity| devTime=2016-06-09 02:57:28 src=10.1.1.1 srcPort=49220 dst=10.1.1.2 domain=I cat=NetworkAccesses usrName=test devTimeFormat=yyyy-MM-dd HH:mm:ss connDir=0 dstPort=443 resource=<Resource> proto=TCP url=https://example.com/url
表 1. QRadar イベント・ペイロード内のフィールド名と強調表示された値
QRadarフィールド名 イベント・ペイロードで強調表示される値
イベント ID Suspicious Activity
カテゴリー CrowdStrike + FalconHost
送信元 IP 10.1.1.1
送信元ポート 49220
宛先 IP 10.1.1.2
宛先ポート 443
イベント時刻 2016-06-09 02:57:28
Username test