Linux
Rozszerzenie treści programu IBM® QRadar ® Linux® dodaje nowe niestandardowe właściwości zdarzeń dla systemu Linux.
IBM Security QRadar Linux Content Extensions
- Właściwości niestandardowe w rozszerzeniu treści Linux 1.1.2
- Właściwości niestandardowe w rozszerzeniu treści w systemie Linux 1.1.1
- Właściwości niestandardowe w rozszerzeniu treści Linux 1.1.0
- Właściwości niestandardowe w rozszerzeniu treści w systemie Linux 1.0.1
- Właściwości niestandardowe w rozszerzeniu treści Linux 1.0.0
Właściwości niestandardowe w rozszerzeniu treści Linux 1.1.2
W poniższej tabeli przedstawiono nowe właściwości niestandardowe w rozszerzeniu treści IBM Security QRadar Linux 1.1.2 .
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Typ | Nie | 1 | type=([^\s]*) |
| Nazwa konta podmiotu | Tak | 1 | Account Name:\s+(.*?)\s+Account Domain: |
Właściwości niestandardowe rozszerzenia treści w systemie Linux 1.1.1
W poniższej tabeli przedstawiono zaktualizowane właściwości niestandardowe w rozszerzeniu treści IBM Security QRadar Linux 1.1.1 .
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Katalog plików | Tak | 1 | name=" (. *?) \/ " |
| Identyfikator procesu | Tak | 1 | \bpid = (\d +) \bpid = (\d +) \ [ (\d +) \] \:\s \bpid = (\d +) pid = (\d +) pid = (\d +) |
Opis właściwości Katalog plików został zaktualizowany.
Identyfikator wyrażenia dla opcji Nazwa pliku został zaktualizowany, aby zapobiec problemom z innym pakietem treści.
Właściwości niestandardowe w rozszerzeniu treści Linux 1.1.0
W poniższej tabeli przedstawiono właściwości niestandardowe w rozszerzeniu treści IBM Security QRadar Linux 1.1.0 .
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Architektura | Tak | 1 | arch = ([0-9a-fA-F] +) |
| Identyfikator kontroli | Tak | 1 | auid = (\d +) |
| Typ wywołania | Tak | 1 | syscall = (\d +) |
| Komenda | Tak | 1 | crontab \ [ \d + \]: \s + \(. * ?\) \s + ([ ^ \s] +) |
| Argumenty komendy | Tak | 1 | argc= \d + ((a\d + =" [ ^ ";] +?"? "?) +) |
| Zakodowany katalog plików | Tak | 1 | item = \d + nazwa = ((?: [A-F0-9]{2}) * (?=2F(?: [A-F0-9]{2}) * \s)) element = \d + nazwa = ([A-F0-9] +) |
| Zakodowana Nazwa Pliku | Tak | 1 | item = \d + nazwa = (?: (?: (?: [A-F0-9]{2})+2F) * ([A-F0-9] +) |
| Kod błędu | Tak | 1 | exit = ([ ^ \s] +) |
| Katalog plików | Tak | 1 | element = \d + nazwa = \ " ([ ^ \s \"] +) (?= \/) exe = \ " ([ \/ \w] +) (?= \/) cwd=" (. *?) " name="(. *?) " \s |
| Rozszerzenie pliku | Tak | 1 | item = \d + nazwa=" (?: [ ^ \"] + \/) *. * ?\. ([ ^ \.] *? (?:\. [ ^ \.] *?){0,1}) " |
| Uprawnienia do pliku | Tak | 1 | mode = (\d +) |
| Nazwa pliku | Tak | 1 | exe = \ ". *? \/ ([ ^ \/] *?) \" item = \d + nazwa=" (?: [ ^ \"] + \/) * ([ ^ \"] +) " |
| Nazwa grupy | Tak | 1 | group = ([ ^,] +) |
| Katalog główny | Nie | 1 | PWD = (. *?) \s; |
| ID komputera | Tak | 1 | ^ (?:\S + \s +){3}(\S +) \bnode = ([ ^ \s] +) |
| Identyfikator procesu nadrzędnego | Nie | 1 | ppid = (\d +) |
| Proces CommandLine | Tak | 1 | CMD \ ((. *?) \) COMMAND = (. *) |
| Identyfikator procesu | Nie | 1 | pid = (\d +) \bpid = (\d +) |
| Nazwa procesu | Tak | 1 | comm=" (\w +) " |
| Numer rekordu | Tak | 1 | msg=audit\(. *?: (\d +) \) |
| Identyfikator terminala | Nie | 1 | tty=pts (\d +) |
| UrlHost | Tak | 1 | (?: (? :http|ftp|tcp|ssl|https): \/\/) (. *?) (?=$| \s | \\ | \" | \/ | \: | \|) |
- Nazwa komputera
- Katalog procesów
Właściwości niestandardowe w rozszerzeniu treści Linux 1.0.1
W poniższej tabeli przedstawiono właściwości niestandardowe w rozszerzeniu treści IBM Security QRadar Linux 1.0.1 .
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Nazwa komputera | Nie | 1 | \bnode = ([ ^ \s] +) |
| Katalog plików | Tak | 1 | exe = \ " ([ \/ \w] +) (?= \/) PWD = ([ \/ \w] +) (?= \/) script = ([ \/ \w] +) (?= \/) item = \d + nazwa=" ([ ^ \"] *) \/ [ ^ \\] +? " |
| Nazwa pliku | Tak | 1 | exe = \ ". *? \/ ([ ^ \/] *?) \" PWD=. * \/ ([ ^ \/] *?); script =. * \/ ([ ^,] *), \skonto item = \d + nazwa=" [ ^ \"] + \/ ([ ^ \"] +) " |
| Identyfikator grupy | Tak | 1 | (?i) gid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ /\d + \/(\d +) |
| Proces CommandLine | Tak | 1 | ocomm=" ([ ^ \"] +) |
| Identyfikator procesu | Nie | 1 | \bpid = (\d +) |
| Nazwa procesu | Nie | 1 | exe=". * \/ ([ ^ "] +)" START \:\s ([ ^ \s] +) EXIT \:\s ([ ^ \s] +) exe = \ "[ ^ \"] + \/ ([ ^"] +) |
| Ścieżka procesu | Nie | 1 | exe=" ([ ^ "] +)" |
| ID użytkownika | Tak | 1 | (?i) uid = (\d +) |
Właściwości niestandardowe w rozszerzeniu treści Linux 1.0.0
W poniższej tabeli przedstawiono właściwości niestandardowe w rozszerzeniu treści IBM Security QRadar Linux 1.0.0 .
| Nazwa | Zoptymalizowane | Grupa przechwytywania | Wyrażenie regularne |
|---|---|---|---|
| Aplikacja | Nie | 1 | (\w +) \ [ \d + \] \:\s |
| Komenda | Nie | 1 | COMMAND = ([ ^ \s] +) działające \s ([ ^ \s] +) \scommand |
| Nazwa komputera | Nie | 1 | node = ([ ^ \s] +) |
| Identyfikator grupy efektywnej | Nie | 1 | uid \/euid \/gid \/egid\s = \s\d + \ /\d + \ /\d + \/(\d +) |
| Efektywny ID użytkownika | Nie | 1 | euid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \/(\d +) |
| Katalog plików | Tak Tak |
1 1 |
exe = \ " ([ \/ \w] +) (?= \/) PWD = ([ \/ \w] +) (?= \/) script = ([ \/ \w] +) (?= \/) |
| Nazwa pliku | Tak Tak |
1 1 |
exe = \ ". *? \/ ([ ^ \/] *?) \" PWD=. * \/ ([ ^ \/] *?); script =. * \/ ([ ^,] *), \skonto |
| Nazwa grupy | Nie | 1 | group = ([ ^,] +) |
| GroupID | Nie | 1 | gid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ /\d + \/(\d +) |
| Katalog główny | Nie | 1 | home = ([ ^,] +) |
| Kierunek procesu | Nie | 1 | direction = ([ ^ \s] +) |
| Identyfikator procesu | Nie | 1 | pid = (\d +) \ [ (\d +) \] \:\s |
| Nazwa procesu | Nie | 1 | exe=". * \/ ([ ^ "] +)" START \:\s ([ ^ \s] +) EXIT \:\s ([ ^ \s] +) |
| Powłoka | Nie | 1 | powłoka = ([ ^,] +) |
| ID użytkownika | Nie | 1 | uid \/euid \/gid \/egid\s = \s (\d +) \/ uid = (\d +) |