Bit9 Security Platform
O pacote de conteúdo de segurança inclui propriedades de evento customizado no dispositivo Bit9 Security Platform.
IBM Security QRadar O SIEM usa JDBC para coletar eventos da Bit9 Security Platform para auditoria padrão, autenticação e eventos do sistema. Esse pacote de conteúdo de segurança contém propriedades de evento customizado para campos importantes que podem ser alavancados por administradores em relatórios ou procuras. O RPM do pacote de conteúdo inclui as propriedades de evento customizado sobre as propriedades de evento customizado existentes fornecidas com o QRadar.
IBM Segurança QRadar Bit9 Extensão de conteúdo da plataforma de segurança V1.0.2
A tabela a seguir mostra as propriedades customizadas que foram atualizadas no IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2
| Nome | Otimizada |
|---|---|
| Message | Não |
IBM Segurança QRadar Bit9 Extensão de conteúdo da plataforma de segurança V1.0.1
A tabela a seguir mostra as propriedades customizadas que foram atualizadas em IBM Segurança QRadar Bit9 Extensão de conteúdo do Security Platform V1.0.1.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome de Ban | Sim | 1 | banName=([^\t]+)[\t]* |
| Nome do host de destino | Sim | 1 | dstHostName=([^\t]+)[\t]* |
| ID externo | Sim | 1 | externalId=([^\t]+)[\t]* |
| Hash de Arquivo | Sim | 1 | fileHash=([^\t]+)[\t]* |
| ID do Arquivo | Sim | 1 | fileId=([^\t]+)[\t]* |
| Caminho de Arquivo | Não | 1 | filePath=([^\t]+)[\t]* |
| Ameaça de Arquivos | Sim | 1 | fileThreat=([^\t]+)[\t]* |
| Confiança do Arquivo | Sim | 1 | fileTrust=([^\t]+)[\t]* |
| Nome do Arquivo | Sim | 1 | fileName=([^\t]+)[\t]* |
| Nome Indicador | Não | 1 | indicatorName=([^\t]+)[\t]* |
| Instalador de Nome do Arquivo | Sim | 1 | installerFileName=([^\t]+)[\t]* |
| Message | Sim | 1 | msg=([^\t]+)[\t]* |
| Política de Paridade | Sim | 1 | policy=([^\t]+)[\t]* |
| Chave do Processo | Sim | 1 | processKey=([^\t]+)[\t]* |
| Ameaça de Processo | Sim | 1 | processThreat=([^\t]+)[\t]* |
| Confiança do Processo | Sim | 1 | processTrust=([^\t]+)[\t]* |
| Horário Recebido | Sim | 1 | receivedTime=([^\t]+)[\t]* |
| Hash Raiz | Sim | 1 | rootHash=([^\t]+)[\t]* |
| Nome da Regra | Sim | 1 | ruleName=([^\t]+)[\t]* |
| Nome do host de origem | Sim | 1 | srcHostName=([^\t]+)[\t]* |
| Processo de Origem | Sim | 1 | srcProcess=([^\t]+)[\t]* |
| Nome Do Atualizador | Não | 1 | updaterName=([^\t]+)[\t]* |
IBM Segurança QRadar Bit9 Extensão de conteúdo da plataforma de segurança V1.0.0
A tabela a seguir mostra as propriedades customizáveis no IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0
| Nome | Descrição |
|---|---|
| Nome de Ban | Nome inválido que identifica por que o Bit9 Agent bloqueou um acesso a um arquivo. |
| Nome Indicador | Nome do indicador de ameaça associado ao evento, se presente. |
| Ameaça de Arquivos | Ameaça do arquivo do Bit9 SRS do arquivo associado ao evento. Pendente implica que a consulta SRS ainda não foi executada. É um valor numérico: -2 pendente -1 desconhecido 0 sem ameaça 1 risco potencial 2 malicioso. |
| Confiança do Arquivo | Confiança do arquivo do Bit9 SRS do arquivo associado ao evento. Pendente implica que a consulta SRS ainda não foi executada. É um valor numérico: -2 pendente -1 desconhecido 0-10 valor confiável. |
| Chave do Processo | Chave do proprietário exclusiva que identifica a instância do processo em um computador específico. |
| Ameaça de Processo | Ameaça do processo do Bit9 SRS do processo associado ao evento. Pendente implica que a consulta SRS ainda não foi executada, mas será. |
| Confiança do Processo | Confiança do processo do Bit9 SRS do processo associado ao evento. Pendente implica que a consulta SRS ainda não foi executada, mas será. |
| Nome Do Atualizador | Nome do atualizador relacionado ao evento. |