Bit9 Security Platform
보안 컨텐츠 팩은 Bit9 Security Platform 어플라이언스에 사용자 정의 이벤트 특성을 추가합니다.
IBM 보안 QRadar SIEM은 JDBC을 사용하여 표준 감사, 인증 및 시스템 이벤트를 위해 Bit9 보안 플랫폼에서 이벤트를 수집합니다. 이 보안 컨텐츠 팩에는 보고서 또는 검색에서 관리자가 활용할 수 있는 중요 필드에 대한 사용자 정의 이벤트 특성이 포함되어 있습니다. 컨텐츠 팩 RPM은 QRadar에서 제공하는 기존 사용자 정의 이벤트 특성 위에 사용자 정의 이벤트 특성을 추가합니다.
중요: 이 컨텐츠 확장에서 컨텐츠 오류를 방지하려면 연관된 DSM을 최신 상태로 유지하십시오. DSM은 자동 업데이트의 일부로 업데이트됩니다. 자동 업데이트가 활성화되지 않은 경우 IBM® Fix Central에서 관련 DSM의 최신 버전을 다운로드하세요(https://www.ibm.com/support/fixcentral).
IBM 보안 QRadar 보안 플랫폼 콘텐츠 확장 Bit9 보안 플랫폼 콘텐츠 확장 V1.0.2
다음 표는 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2에서 업데이트된 사용자 정의 특성을 표시합니다.
| 이름 | 최적화 여부 |
|---|---|
| 메시지 | 아니오 |
IBM 보안 QRadar 보안 플랫폼 콘텐츠 확장 Bit9 보안 플랫폼 콘텐츠 확장 V1.0.1
다음 표는 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.1에서 업데이트된 사용자 정의 특성을 표시합니다.
| 이름 | 최적화 여부 | 캡처 그룹 | 정규식 |
|---|---|---|---|
| 금지 이름 | 예 | 1 | banName=([^\t]+)[\t]* |
| 대상 호스트 이름 | 예 | 1 | dstHostName=([^\t]+)[\t]* |
| 외부 ID | 예 | 1 | externalId=([^\t]+)[\t]* |
| 파일 해시 | 예 | 1 | fileHash=([^\t]+)[\t]* |
| 파일 ID | 예 | 1 | fileId=([^\t]+)[\t]* |
| 파일 경로 | 아니오 | 1 | filePath=([^\t]+)[\t]* |
| 파일 위협 | 예 | 1 | fileThreat=([^\t]+)[\t]* |
| 파일 신뢰 | 예 | 1 | fileTrust=([^\t]+)[\t]* |
| 파일 이름 | 예 | 1 | fileName=([^\t]+)[\t]* |
| 표시기 이름 | 아니오 | 1 | indicatorName=([^\t]+)[\t]* |
| 설치 프로그램 파일 이름 | 예 | 1 | installerFileName=([^\t]+)[\t]* |
| 메시지 | 예 | 1 | msg=([^\t]+)[\t]* |
| 패리티 정책 | 예 | 1 | policy=([^\t]+)[\t]* |
| 프로세스 키 | 예 | 1 | processKey=([^\t]+)[\t]* |
| 프로세스 위협 | 예 | 1 | processThreat=([^\t]+)[\t]* |
| 프로세스 신뢰 | 예 | 1 | processTrust=([^\t]+)[\t]* |
| 수신된 시간 | 예 | 1 | receivedTime=([^\t]+)[\t]* |
| 루트 해시 | 예 | 1 | rootHash=([^\t]+)[\t]* |
| 룰 이름 | 예 | 1 | ruleName=([^\t]+)[\t]* |
| 소스 호스트 이름 | 예 | 1 | srcHostName=([^\t]+)[\t]* |
| 소스 프로세스 | 예 | 1 | srcProcess=([^\t]+)[\t]* |
| 업데이트 프로그램 이름 | 아니오 | 1 | updaterName=([^\t]+)[\t]* |
IBM 보안 QRadar 보안 플랫폼 콘텐츠 확장 Bit9 보안 플랫폼 콘텐츠 확장 V1.0.0
다음 표는 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0의 사용자 정의 특성을 표시합니다.
| 이름 | 설명 |
|---|---|
| 금지 이름 | Bit9 에이전트가 파일에 대한 액세스를 차단한 이유를 식별하는 금지 이름. |
| 표시기 이름 | 이벤트(있는 경우)와 연관되는 위협 표시기의 이름. |
| 파일 위협 | 이벤트와 연관되는 파일의 Bit9 SRS로부터의 파일 위협. 보류 중은 SRS 검색이 아직 수행되지 않았음을 의미합니다. 이는 숫자 값입니다. -2: 보류 중, -1: 알 수 없음, 0: 위협 없음, 1: 잠재적 위험, 2: 악성 |
| 파일 신뢰 | 이벤트와 연관되는 파일의 Bit9 SRS로부터의 파일 신뢰. 보류 중은 SRS 검색이 아직 수행되지 않았음을 의미합니다. 이는 숫자 값입니다. -2: 보류 중, -1: 알 수 없음, 0-10: 신뢰 값. |
| 프로세스 키 | 특정 컴퓨터에서 프로세스 인스턴스를 식별하는 고유한 전용 키. |
| 프로세스 위협 | 이벤트와 연관되는 프로세스의 Bit9 SRS로부터의 프로세스 위협. 보류 중은 SRS 검색이 아직 수행되지 않았지만 수행될 것임을 의미합니다. |
| 프로세스 신뢰 | 이벤트와 연관되는 프로세스의 Bit9 SRS로부터의 프로세스 신뢰. 보류 중은 SRS 검색이 아직 수행되지 않았지만 수행될 것임을 의미합니다. |
| 업데이트 프로그램 이름 | 이벤트와 관련된 업데이트 사용자 이름. |