Linux
IBM Security QRadar Linux® コンテンツ拡張は、Linux 用の新しいカスタム イベント プロパティを追加します。
IBM Security QRadar Linux コンテンツ拡張
Linux 1.1.3 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.1.3 コンテンツ拡張の新しいカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| ファイル拡張子 | はい | 1 | item = ¥ d + name=" (?: [^ ¥ "] + ¥/) * .. *? ¥. ([^ ¥.] *? (?: ¥. [^ ¥.] *?){0,1})" |
| 古いプロパティー名 | 新規プロパティー名 |
|---|---|
| GroupID | グループ ID |
| マシン ID | マシン ID (Machine Identifier) |
| プロセス・コマンド行 | コマンド |
| プロセス ID | プロセス ID |
| UrlHost | URL ホスト (URL Host) |
Linux 1.1.2 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.1.2 コンテンツ拡張の新しいカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| タイプ | いいえ | 1 | type=([^\s]*) |
| サブジェクト・アカウント名 | はい | 1 | Account Name:\s+(.*?)\s+Account Domain: |
Linux 1.1.1 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.1.1 コンテンツ拡張で更新されたカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| ファイル・ディレクトリー | はい | 1 | name=" (. *?) ¥/" |
| プロセス ID | はい | 1 | ¥bpid=(¥d+) ¥bpid=(¥d+) ¥[(¥d+)¥]¥:¥s ¥bpid=(¥d+) pid=(¥d+) pid=(¥d+) |
「ファイル・ディレクトリー」 プロパティーの説明が更新されました。
Filename の式 ID は、別のコンテンツ・パックでの問題を防止するために更新されました。
Linux V1.1.0 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.1.0 コンテンツ拡張のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| アーキテクチャー | はい | 1 | arch=([0-9a-fA-F]+) |
| 監査 ID | はい | 1 | auid=(¥d+) |
| 呼び出しタイプ | はい | 1 | syscall=(¥d+) |
| コマンド | はい | 1 | crontab¥[¥d+¥]:¥s+¥(.*?¥)¥s+([^¥s]+) |
| コマンド引数 | はい | 1 | argc=\d+ ((a\d+="[^";]+?" ?)+) |
| エンコード・ファイル・ディレクトリー | はい | 1 | item=¥d+ name=((?:[A-F0-9]{2})*(?=2F(?:[A-F0-9]{2})*¥s)) item=¥d+ name=([A-F0-9]+) |
| エンコードされたファイル名 | はい | 1 | item=¥d+ name=(?:(?:[A-F0-9]{2})+2F)*([A-F0-9]+) |
| エラー・コード | はい | 1 | exit=([^¥s]+) |
| ファイル・ディレクトリー | はい | 1 | item=¥d+ name=¥"([^¥s¥"]+)(?=¥/) exe=¥"([¥/¥w]+)(?=¥/) cwd="(.*?)" name="(.*?)"\s |
| ファイル拡張子 | はい | 1 | item=¥d+ name="(?:[^¥"]+¥/)*.*?¥.([^¥.]*?(?:¥.[^¥.]*?){0,1})" |
| ファイルの許可 | はい | 1 | mode=(¥d+) |
| ファイル名 | はい | 1 | exe=¥".*?¥/([^¥/]*?)¥" item=¥d+ name="(?:[^¥"]+¥/)*([^¥"]+)" |
| Group Name | はい | 1 | グループ = ([^,] +) |
| ホーム・ディレクトリー | いいえ | 1 | PWD=(.*?)\s; |
| マシン ID | はい | 1 | ^(?:¥S+¥s+){3}(¥S+) ¥bnode=([^¥s]+) |
| 親プロセス ID | いいえ | 1 | ppid=(¥d+) |
| プロセス・コマンド行 | はい | 1 | CMD ¥((.*?)¥) COMMAND=(.*) |
| プロセス ID | いいえ | 1 | pid=(¥d+) ¥bpid=(¥d+) |
| プロセス名 | はい | 1 | comm="(¥w+)" |
| レコード番号 | はい | 1 | msg=audit¥(.*?:(¥d+)¥) |
| 端末 ID | いいえ | 1 | tty=pts(¥d+) |
| UrlHost | はい | 1 | (?:(?:http|ftp|tcp|ssl|https):¥/¥/)(.*?)(?=$|¥s|¥¥|¥"|¥/|¥:|¥|) |
- コンピューター名
- プロセス・ディレクトリー
Linux 1.0.1 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.0.1 コンテンツ拡張のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| コンピューター名 | いいえ | 1 | ¥bnode=([^¥s]+) |
| ファイル・ディレクトリー | はい | 1 | exe=¥"([¥/¥w]+)(?=¥/) PWD=([¥/¥w]+)(?=¥/) script=([¥/¥w]+)(?=¥/) item=¥d+ name="([^¥"]*)¥/[^¥¥]+?" |
| ファイル名 | はい | 1 | exe=¥".*?¥/([^¥/]*?)¥" PWD=.*\/([^\/]*?); script=.*¥/([^,]*),¥saccount item=¥d+ name="[^¥"]+¥/([^¥"]+)" |
| グループ ID | はい | 1 | (?i)gid=(¥d+) uid¥/euid¥/gid¥/egid¥s=¥s¥d+¥/¥d+¥/(¥d+) |
| プロセス・コマンド行 | はい | 1 | ocomm="([^¥"]+) |
| プロセス ID | いいえ | 1 | ¥bpid=(¥d+) |
| プロセス名 | いいえ | 1 | exe=".*¥/([^"]+)" START¥:¥s([^¥s]+) EXIT¥:¥s([^¥s]+) exe=¥"[^¥"]+¥/([^"]+) |
| プロセス・パス | いいえ | 1 | exe="([^"]+)" |
| ユーザー ID | はい | 1 | (?i)uid=(¥d+) |
Linux 1.0.0 コンテンツ拡張のカスタム・プロパティー
次の表では、 IBM Security QRadar Linux 1.0.0 コンテンツ拡張のカスタム・プロパティーを示しています。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| アプリケーション | いいえ | 1 | (¥w+)¥[¥d+¥]¥:¥s |
| コマンド | いいえ | 1 | COMMAND=([^¥s]+) running¥s([^¥s]+)¥scommand |
| コンピューター名 | いいえ | 1 | node=([^¥s]+) |
| 有効グループ ID | いいえ | 1 | uid¥/euid¥/gid¥/egid¥s=¥s¥d+¥/¥d+¥/¥d+¥/(¥d+) |
| 有効ユーザー ID | いいえ | 1 | euid=(¥d+) uid¥/euid¥/gid¥/egid¥s=¥s¥d+¥/(¥d+) |
| ファイル・ディレクトリー | はい はい |
1 1 |
exe=¥"([¥/¥w]+)(?=¥/) PWD=([¥/¥w]+)(?=¥/) script=([¥/¥w]+)(?=¥/) |
| ファイル名 | はい はい |
1 1 |
exe=¥".*?¥/([^¥/]*?)¥" PWD=.*\/([^\/]*?); script=.*¥/([^,]*),¥saccount |
| Group Name | いいえ | 1 | グループ = ([^,] +) |
| GroupID | いいえ | 1 | gid=(¥d+) uid¥/euid¥/gid¥/egid¥s=¥s¥d+¥/¥d+¥/(¥d+) |
| ホーム・ディレクトリー | いいえ | 1 | home=([^,]+) |
| プロセスの方向 | いいえ | 1 | direction=([^¥s]+) |
| プロセス ID | いいえ | 1 | pid=(¥d+) ¥[(¥d+)¥]¥:¥s |
| プロセス名 | いいえ | 1 | exe=".*¥/([^"]+)" START¥:¥s([^¥s]+) EXIT¥:¥s([^¥s]+) |
| シェル | いいえ | 1 | shell=([^,]+) |
| ユーザー ID | いいえ | 1 | uid¥/euid¥/gid¥/egid¥s=¥s(¥d+)¥/ uid=(¥d+) |