Crowdstrike
Use as IBM Security QRadar Custom Properties for Crowdstrike Content Extension para monitorar de perto sua implantação do Crowdstrike.
Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados a partir de IBM® Fix Central (https://www.ibm.com/support/fixcentral).
IBM Security QRadar Propriedades Customizadas para o Crowdstrike Content Extension 1.0.0
A tabela a seguir mostra as propriedades customizadas no IBM Security QRadar Custom Properties for Crowdstrike Content Extension 1.0.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Ação | Sim | 1 | objective=(.*?)\t |
| Resultado da ação | Não | 1 | outcome=(.*?)\t |
| Gravidade do alerta | Não | 1 | sev=(.*?)\t |
| Direção da Conexão | Não | 1 | connDir=(.*?)\t |
| Mecanismo de detecção | Não | 1 | scanResultEngine=(.*?)\t |
| Eliminação | Não | 1 | patternDisposition=(.*?)\t |
| Domínio de solicitação DNS | Não | 1 | dnsRequestdomain=(.*?)\t |
| Tipo de solicitação DNS | Não | 1 | requestType=(.*?)\t |
| Domínio | Não | 1 | domain=(.*?)(?:\t|$|\|) |
| Diretório de Arquivos | Sim | 1 | docAccessedFilePath=(.*?)(?:\t|$) exeWrittenFilePath=(.*?)(?:\t|$|\|) filePath=(.*?)\t |
| Extensão de Arquivo | Sim | 1 | fileName=.*?\.(.*?)\t exeWrittenFileName=.*?\.(.*?)(?:\t|$|\|) docAccessedFileName=.*?\.(.*?)(?:\t|$|\|) |
| Nome do Arquivo | Sim | 1 | exeWrittenFileName=(.*?)(?:\t|$|\|) fileName=(.*?)\t docAccessedFileName=(.*?)(?:\t|$|\|) |
| Hash MD5 | Sim | 1 | md5=(.*?)\t |
| Message | Não | 1 | description=(.*?)\t |
| Process CommandLine | Sim | 1 | commandLine=(.*?)\t |
| Recurso | Sim | 1 | resource=(.*?)(?:\t|$|\|) |
| Nome do Serviço | Sim | 1 | serviceName=(.*?)\t |
| Hash SHA256 | Sim | 1 | sha256=(.*?)\t |
| Tática | Não | 1 | tactic=(.*?)(?:\t|$|\|) |
| Técnica | Não | 1 | technique=(.*?)(?:\t|$|\|) |
| Nome da Ameaça | Sim | 1 | scanResultName=(.*?)\t |
| Nível de protocolo TLS ou SSL | Não | 1 | proto=(.*?)\t |
| URL | Sim | 1 | url=(.*?)(?:\t|$|\|) |
| UrlHost | Sim | 1 | url=(?:(?:http|ftp|tcp|ssl|https|tunnel):\/\/)(.*?)(?=\s|\\|\"|\/|\:) |