CrowdStrike Falcon Host のサンプル・イベント・メッセージ
このサンプル・イベント・メッセージは、 IBM QRadarとの統合が正常に行われたことを確認するために使用します。
重要: フォーマットの問題が原因で、メッセージ・フォーマットをテキスト・エディターに貼り付けてから、復帰文字または改行文字を削除してください。
Syslog プロトコルを使用する場合の CrowdStrike Falcon Host サンプル・メッセージ
以下のサンプルは、既知のマルウェアがホスト上の文書にアクセスしたときに生成された検出サマリー・イベントを示しています。 このイベントには、文書の詳細および文書がアクセスされた時刻が含まれています。
LEEF:1.0|CrowdStrike|FalconHost|1.0|Suspicious Activity| devTime=2016-06-09 02:57:28 src=10.1.1.1 srcPort=49220 dst=10.1.1.2 domain=I cat=NetworkAccesses usrName=test devTimeFormat=yyyy-MM-dd HH:mm:ss connDir=0 dstPort=443 resource=<Resource> proto=TCP url=https://example.com/url
| QRadarフィールド名 | イベント・ペイロードで強調表示される値 |
|---|---|
| イベント ID | Suspicious Activity |
| カテゴリー | CrowdStrike + FalconHost |
| 送信元 IP | 10.1.1.1 |
| 送信元ポート | 49220 |
| 宛先 IP | 10.1.1.2 |
| 宛先ポート | 443 |
| イベント時刻 | 2016-06-09 02:57:28 |
| Username | test |