Microsoft Windows

Use a IBM Security QRadar Custom Properties for Microsoft Windows Content Extension para expandir QRadar as pesquisas e os relatórios normalizando dados de eventos específicos de uma fonte de registro. Também é possível deixar dados importantes mais visíveis em regras, procuras e relatórios.

A Extensão de Conteúdo de Propriedade do Windows suporta a análise apenas dos formatos de eventos delimitados por tabulação WinCollect.

Advertência: Quando o QRadar recebe eventos delimitados por tabulação WinCollect e formatados em XML, e você planeja adicionar a análise de dados XML, faça o seguinte:
  • Use expressões regulares (regex) para analisar eventos formatados em XML.
  • Evite misturar expressões regex e XML na mesma propriedade, pois isso pode prejudicar o desempenho da análise e causar um comportamento imprevisível.

Para obter uma lista de IDs e nomes de eventos nos quais o IBM Security QRadar Custom Properties para Microsoft Windows Content Extension são baseados, consulte aqui..

Observação: Essa extensão de conteúdo não é instalada quando a propriedade personalizada Parent Filename está presente no Cisco AMP V.1.0.0. Exclua o nome do arquivo pai antes de instalar essa extensão de conteúdo.
Importante: Para evitar erros de conteúdo nesta extensão de conteúdo, mantenha as DSMs associadas até hoje. Os DSMs são atualizados como parte das atualizações automáticas. Se as atualizações automáticas não estiverem ativadas, faça o download da versão mais recente dos DSMs associados em IBM® Fix Central ( https://www.ibm.com/support/fixcentral ).

IBM Security QRadar Propriedades Customizadas para Extensão de Conteúdo do Microsoft Windows

IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Content Extension 1.2.9

As seguintes expressões regulares para a propriedade Extensão de arquivo foram atualizadas:

ID da expressão regex Expressão regular
028e41cb-74f7-41d3-b5bd-378c5a1fb01d TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Hashes
27b28d8b-2876-4e1d-8126-4b643dfe6881 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
29f5ac46-341e-49b6-8fc3-513b0cc26c23 ImageLoaded:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+FileVersion
32ac2a10-1a1b-4f40-8296-9275ce9627e0 Relative Target Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
793f755e-dc59-466c-bf41-67d9715b9be2 Relative Target Name:\s+[^\\]+(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
9662fc2c-61e5-48cf-9d00-412d7534a0c8 TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
ac769579-8e07-4755-aab0-0bc6489c7325 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
aec96349-bf39-40a6-b549-373a835f7fbd file:\/\/\\?(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\sowned\sby
d9f7021c-7b5f-46ff-8bdf-c7d277052955 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle

Propriedades personalizadas IBM Security QRadar para extensão de conteúdo Microsoft Windows 1.2.8

A tabela a seguir mostra as propriedades personalizadas do IBM Security QRadar para o Microsoft Windows Content Extension 1.2.8.

Tabela 1. Expressões de propriedades de eventos personalizados novas e atualizadas no IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.8
Nome da antiga propriedade Novo nome da propriedade
EventID ID de Evento
ObjectType ObjectType
GroupID ID do grupo
ObjectName Object Name
Nome de Computador Identificador da Máquina
Nome do Usuário de Destino Nome do usuário de destino
Estações de trabalho do usuário Identificador da Máquina
Process CommandLine Comando
TaskName Nome da Tarefa
SharePath Caminho de Compartilhamento
Nome do usuário do inicializador Nome do usuário do inicializador
ID da Máquina Identificador da Máquina
Id do processo ID de processo
GUID do processo GUID do processo
Guid do Processo Pai GUID do processo pai
UrlHost Host de URL
Imagem Caminho do Processo
StartAddress Endereço de início
PipeName Nome do Canal
Nome do host de destino Nome do host de destino
ServiceFileName Nome do arquivo de serviço
ParentCommandLine Comando pai

IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.7

A propriedade personalizada Key Length é nova na IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.7. Essa propriedade personalizada define a extração personalizada padrão do Key Length (Comprimento da chave) da carga útil do DSM.

Tabela 2. Expressões de propriedades de eventos personalizados novas e atualizadas em IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.7
Nome Novo ou atualizado Grupo de Captura Expressão regular Descrição
Versão do mecanismo Novo 1 .*\bEngineVersion=([\.0-9]*)\b.* Nova propriedade de evento personalizado.
Versão do host Novo 1 .*\bHostVersion=([\.0-9]*)\b.* Nova propriedade de evento personalizado.
Histórico do SID Novo 1 .*\s+SID History:\s+(S-\S+)\b.* Nova propriedade de evento personalizado.
Delegação Novo 1 AllowedToDelegateTo:\s*(.*\S)\s+Old UAC Value: Nova propriedade de evento personalizado.
Nome de exibição doLDAP Novo 1 LDAP Display Name:\s*(.*\S)\s+Syntax \(OID\): Nova propriedade de evento personalizado.
Classe de Objeto Novo 1 Object.*Class:\s*(\S*) Nova propriedade de evento personalizado.
Chave de registro Atualizado 1 TargetObject:\s+(.*?)\\[^\\]+(?:\s+[^:]+|$) Expressão regular atualizada.
Nome do Valor do Registro Atualizado 1 TargetObject:\s+.*?\\([^\\]+?)(?:\s+[^:]+|$) Expressão regular atualizada.
Dados do Valor do Registro Atualizado 1 Details:\s+(.*?)(?:\s+User:\s+|$ Expressão regular atualizada.
Nome do Canal Atualizado    

Categoria alterada para qualquer / qualquer.

Nome da propriedade alterado de PipeName para Pipe Name.

Comprimento da chave Atualizado     Tipo alterado de alfanumérico para numérico.
ID de Evento Atualizado     Nome da propriedade alterado de EventID para Event ID.
ObjectType Atualizado     Nome da propriedade alterado de ObjectType para Object Type.
ID do grupo Atualizado     Nome da propriedade alterado de GroupID para Group ID.
Nome do projeto Atualizado     Nome da propriedade alterado de ObjectName para Object Name.
Nome do usuário de destino Atualizado     O nome da propriedade foi alterado de Nome de usuário de destino para Nome de usuário de destino.
Comando Atualizado     Nome da propriedade alterado de Process CommandLine para Command.
Nome da Tarefa Atualizado     Nome da propriedade alterado de TaskName para Task Name.
Caminho de Compartilhamento Atualizado     Nome da propriedade alterado de SharePath para Share Path.
Nome do usuário do inicializador Atualizado     O nome da propriedade foi alterado de Nome de usuário do iniciador para Nome de usuário do iniciador.
Identificador da Máquina Atualizado    

O nome da propriedade foi alterado de ID da máquina para Identificador da máquina.

O nome da propriedade foi alterado de Nome do computador para Identificador da máquina.

Nome da propriedade alterado de Estações de trabalho do usuário para Identificador da máquina.

ID de processo Atualizado     O nome da propriedade foi alterado de Process Id para Process ID.
GUID do processo Atualizado     Nome da propriedade alterado de Process Guid para Process GUID.
Guid do Processo Pai Atualizado     Nome da propriedade alterado de Guia do processo pai para Guia do processo pai.
Host de URL Atualizado     Nome da propriedade alterado de UrlHost para URL Host.
Caminho do Processo Atualizado     O nome da propriedade foi alterado de Imagem para Caminho do processo.
Endereço de início Atualizado     Nome da propriedade alterado de StartAddress para Start Address.
Nome do host de destino Atualizado     O nome da propriedade foi alterado de Nome do host de destino para Nome do host de destino.
Nome do arquivo de serviço Atualizado     Nome da propriedade alterado de ServiceFileName para Service Filename.
Comando pai Atualizado     Nome da propriedade alterado de ParentCommandLine para Parent Command.

IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.6

A propriedade personalizada Key Length é nova na IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.6. Essa propriedade personalizada define a extração personalizada padrão do Key Length (Comprimento da chave) da carga útil do DSM.

Tabela 3. Novas expressões de propriedades de eventos personalizados em IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.6
Nome ID de propriedade personalizada Grupo de Captura Expressão regular
Comprimento da chave c732c6c4-3e1d-4116-88c5-b2df0782f711 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.2.5

A tabela a seguir mostra as expressões regex atualizadas em IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.5

Tabela 4. Expressões Regex Atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.5
Nome ID da expressão regex Otimizada Grupo de Captura Expressão regular
FILE aec96349-bf39-40a6-b549-373a835f7fbd Sim 1 file:.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\sowned\sby
Imagem Carregada 29f5ac46-341e-49b6-8fc3-513b0cc26c23 Sim 1 ImageLoaded:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
Object Name 27b28d8b-2876-4e1d-8126-4b643dfe6881 Sim 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 Sim 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
ac769579-8e07-4755-aab0-0bc6489c7325 Sim 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
d9f7021c-7b5f-46ff-8bdf-c7d277052955 Sim 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 Sim 1 Object Name:\s+.*?\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
Nome de destino relativo 32ac2a10-1a1b-4f40-8296-9275ce9627e0 Sim 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
793f755e-dc59-466c-bf41-67d9715b9be2 Sim 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
Nome do arquivo de destino 028e41cb-74f7-41d3-b5bd-378c5a1fb01d Sim 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
9662fc2c-61e5-48cf-9d00-412d7534a0c8 Sim 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b Sim 1 TargetFilename:\s+.*?\.([^\\]*?)\s+Hashes

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.4

A tabela a seguir mostra as propriedades de evento customizado que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.4

Tabela 5. Novas propriedades do evento customizado no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.4
Nome Otimizada Grupo de Captura Expressão regular
Destino do Consumidor Sim 1 Destination:\s+"(.*?)"$
Nome de destino relativo Não 1 Relative Target Name[:\s\\=]*\s+([^&]*?)\s+Access

A tabela a seguir mostra as propriedades de evento customizado que têm novas expressões no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.4

Tabela 6. Propriedades de evento customizado com novas expressões no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.4
Nome Otimizada Grupo de Captura Expressão regular
Nome do Processo Sim 1 SourceImage\:\s(?:.*\\)?([\w\.\-\d]+)\sTargetProcessG
Caminho do Processo Sim 1 SourceImage\:\s+(.*?)\s+TargetProcessGUID

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.3

A tabela a seguir mostra as propriedades de eventos customizados que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.3

Tabela 7. Novas propriedades de evento customizado no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.3
Nome Otimizada Grupo de Captura Expressão regular
Atributo Novo Valor Não 1 Value: ([^\s]*?)(?:\s|$)
Pacote de Autenticação Sim 1 Authentication Package:\s+(.*?)\s+Transited
Iniciados Sim 1 Initiated:\s+(.*?)\s+SourceIsIpv6
Processo de logon Sim 1 Logon Process:\s+(.*?)\s+Authentication
Nome do Servidor de Destino Não 1 Target Server Name:\s(.*?)\sAdditional

A tabela a seguir mostra as propriedades de evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.3

Tabela 8. Propriedades do evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.3
Nome Otimizada Grupo de Captura Expressão regular
PipeName Sim 1 PipeName\:\s(.*)\sImage

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.2

A propriedade customizada Process CommandLine recebeu uma atualização para remover uma expressão regular duplicada.

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.1

A tabela a seguir mostra as propriedades de evento customizado que possuem novas expressões no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.1

Tabela 9. Novas expressões de propriedades de evento customizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.1
Nome Otimizada Grupo de Captura Expressão regular
Domínio de usuário Sim 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.0

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.0.

Tabela 10. Propriedades de evento customizado novas e atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.2.0
Nome Otimizada Grupo de Captura Expressão regular
Extensão de Arquivo Sim 1 ImageLoaded:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
Nome do Arquivo Sim 1 ImageLoaded:\s+.*?([^\\]*?)\s+FileVersion
Nível de integridade Sim 1 IntegrityLevel:\s(\w+)
ParentCommandLine Sim 1 ParentCommandLine:\s(.*)
Id do processo Sim 1 ProcessId:\s+(\d+)
Nome do Processo Sim 1

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Image:.*?\\([^\\]*?)\sTargetFilename

Image:.*?\\([^\\]*?)\s(?:FileVersion|CommandLine):

Assinado Sim 1 Signed:\s(true|false)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.8

A tabela a seguir mostra as propriedades de eventos customizados que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.1.8

Tabela 11. Novas propriedades de eventos customizados no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.8
Nome Otimizada Grupo de Captura Expressão regular
Argumento codificado Sim 1

(?i)Process Command Line[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*Token Elevation Type

(?i)CommandLine:\spowershell[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*CurrentDirectory

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.7

A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.7.

Tabela 12. Propriedades de evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.7
Nome Otimizada Grupo de Captura Expressão regular
Nome do Serviço Sim 1 (?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)
ServiceFileName Sim 1 (?i)Service\sFile\sName\:\s*(.*)\sService\sType

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.6

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.1.6

Tabela 13. Propriedades do evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.6
Nome Otimizada Grupo de Captura Expressão regular
Nome do Processo Sim 1

Image:.*\\(.*?)\sTargetFilename

Nome do Processo Finalizado Sim 1

Process Command Line[:\s\\=]+taskkill\s+\/im\s(.*?)\s\/f

Process Command Line[:\s\\=]+(?:net|net1)\s+stop\s(.*?)\s\/y

Diretório de Arquivos de Destino Não 1 cs-bytes[=\s\t](\d+)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.5

A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.5

Tabela 14. Propriedades de evento customizado atualizadas no IBM Security QRadar Custom Properties para Microsoft Windows Content Extension 1.1.5
Nome Otimizada Grupo de Captura Expressão regular
Nome do host de destino Sim 1 DestinationHostname:\s+(.+?)\s+
EventID Sim 1

\d{2}\s\d{2}[:\s]\d{2}[:\s]\d{2}\s+\d{4}\s+(\d+)

^<\d+>[a-zA-Z]{3}[\s]\d{2}[\s]\d{2}:\d{2}:\d{2}[\s][a-zA-Z0-9\.]+[\s]LEEF:[0-9\.a-zA-Z\|]+\|(\d+)

Nome do Arquivo Sim 1 TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime
GUID do processo Não 1 ProcessGuid: \{(.*?)\}
Id do processo Não 1 ProcessId:\s+(\d+)
Nome do Processo Sim 1

Image:\s+.*\\(.*)

Image:.*\\(.*?)\sTargetFilename

Diretório de Arquivos de Destino Sim 1 TargetFilename:\s+(.*?)\s+CreationUtcTime:

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.4

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Custom Properties para Microsoft Windows Content Extension 1.1.4.

Tabela 15. Propriedades de evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.4
Nome Otimizada Grupo de Captura Expressão regular
PipeName Sim 1 PipeName\:\s\\(.*)\sImage

IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.1.3

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.3.

Tabela 16. Propriedades de evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.3
Nome Otimizada Grupo de Captura Expressão regular
Hash MD5 Sim 1

MD5=([^\,]+)

MD5=(\w+)

Process CommandLine Sim 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type)
Nome do Processo Sim 1 Process Name[:\s\\=]+(?:.*\\)?(.*?)\s+(?:Network Information|\s|&&)
SHA1 Hash Sim 1 SHA1=(\w+)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.2

Todos os valores de expressão regular de extensão do arquivo foram atualizados para levar em conta a extensão executável oculta e para excluir o versionamento de arquivo.

A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.2.

Tabela 17. Propriedades do evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.2
Nome Otimizada Grupo de Captura Expressão regular
Diretório de Arquivos Sim 1

ImageLoaded:\s+(.*)\\.*?\s+FileVersion

TargetFilename:\s+(.*)\\.*?\s+

Extensão de Arquivo Sim 1

OriginalFileName:\s+.*?\.(?![0-9]{1,2}\.)(.*?)\s+Hashes

TargetFilename:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Hashes

Nome do Arquivo Sim 1 TargetFilename:\s?.*\\(.*?)\s+Hashes
Hash IMP Sim 1 IMPHASH=(\S+)
Hash MD5 Não 1 MD5=([^\,]+)
ObjectType Sim 1 Object Type[:\s\\=]*([^\s&amp;]*)
Nome do Processo Sim 1

Image:.*\\(.*?)\sTargetFilename

Image:\s+.*\\(.*?)\s

SHA1 Hash Não 1 SHA1=(\w+)
Hash SHA256 Sim 1 SHA256=([^\,]+)
Endereço de início Sim 1 StartAddress:\s(.*?)\s

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.1

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.1

Tabela 18.. Propriedades de evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.1
Nome Otimizada Grupo de Captura Expressão regular
Número de Registro Sim 1 RecordNumber=(\d*)

(Voltar para o topo)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.0

A tabela a seguir mostra as propriedades de evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.0..

Tabela 19.. Propriedades de evento customizado atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.1.0
Nome Otimizada Grupo de Captura Expressão regular
Diretório de Arquivos Sim 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)

TargetFilename:\s+(.*)\\.*?\s+

Extensão de Arquivo Sim 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+CreationUtcTime

Nome do Arquivo Sim 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime

Nome do Host Sim 1 Host Name = ([^\s]+)
Imagem Sim 1

Image:\s*(.+?)\s+FileVersion:

Image: (.*?)\s+ImageLoaded

Image:\s*(.+?)\s+TargetFilename:

Hash IMP Sim 1

IMPHASH=([^\,]+)

IMPHASH=(\w+)

ID da Máquina Sim 1 Computer=([^\s]+)
Hash MD5 Sim 1

MD5=([^\,]+)

MD5=(\w+)

Message Sim 1 subject(?:[^,]*?,){11}([^,]*?)\,
Guid do Processo Pai Sim 1 ParentProcessGuid: \{(.*?)\}
ID do Processo Principal Sim 1 ParentProcessId:\s+(\d+)
Nome do processo pai Sim 1 ParentImage:\s?.*\\([^\s]+)\sParentCommandLine
Caminho do Processo Pai Sim 1 ParentImage:\s*(.+?)\s+ParentCommandLine:
Process CommandLine Sim 1

CommandLine:\s*(.+?)\s+CurrentDirectory

Scriptblock text.*?:\s+(.*?)\s+ScriptBlock ID

Id do processo Sim 1 ProcessId:\s+(\d+)
Nome do Processo Sim 1

CommandLine:\s+"[^\"]*\\([^\"]+)"\s+Current

Image:\s+.*?\\([^\\]*?)\s+.*$

Image:.*\\(.*?)\sFileVersion

Image:.*\\(.*?)\s+ImageLoaded

Image:.*\\(.*?)\sTargetObject

Image:.*\\(.*?)\sUser

Process Name: \s?.*\\([^\s]+)

Caminho do Processo Sim 1

Image:\s+(.*)

Image:\s+(.*?)\s+FileVersion:

Chave de registro Sim 1 TargetObject:\s+(.*)\\.*\s+Details:
Dados do Valor do Registro Sim 1 Details:\s+(.*)
Nome da Regra Sim 1 RuleName[:\s\\=]+([^\s&]+)\s+EventType
Hash SHA256 Sim 1

SHA256=(\w+)

SHA256=([^\,]+)

Nome do Usuário de Destino Sim 1 Account Name:\s+.*?Account Name:\s+([^\s]*)
Tipo de Elevação Token Sim 1 Token Elevation Type: (%%\d{4})
UrlHost Sim 1

(?:(?:http|ftp|tcp|ssl|https):\/\/)(.*?)(?=$|\s|\\|\"|\/|\:|\|)

QueryName:\s(.*)\sQueryStatus

(Voltar para o topo)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.5

A tabela a seguir mostra as propriedades do evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.0.5

Tabela 20.. Propriedades de evento customizado atualizadas em IBM Segurança QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.0.5
Nome Otimizada Grupo de Captura Expressão regular
GroupID Sim 1 Group ID[:\s\\=]*(\d+)
Nome do processo pai Sim

Sim

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line

Caminho do Processo Pai Sim

Sim

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:

(Voltar para o topo)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.4

A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.4.

Tabela 21 Propriedades de evento customizado novas ou atualizadas no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.0.4
Nome Otimizada Grupo de Captura Expressão regular
Máscara de Acesso Sim 1

Access Mask[:\s\\=]*\s+(0[^\s&]+)

Nota: A expressão System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho.
Acessos Sim

Sim

1

1

Accesses[:\s\\=]*(.*?)\s+(?:Access (?:Check Results|Mask|Reasons)|Properties|Privileges|&&|$)

Operation Type[:\s\\=]*(.*?)(?:\s+Process Information|&&)

Nota: A expressão System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho.
ID de Segurança da Conta Não

Não

1

1

User ID[:\s\\=]*(.*?)\s+(?:Service\s|&&)

Subject:\s+?Security ID:\s+(.*?)\s+(?:Subject:|Account Name)

Nota: O regex Subject:\s+ ... é desativado por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho.
Nome de Computador Não

Não

Não

Não

Não

1

1

1

1

1

Workstation Name[:\s\\=]+([^\s&]+)\s+Source

Source Workstation[:\s\\=]+([^\s&]+)\s+Error

Caller Computer Name[:\s\\=]+([^\s&]+)(?:\s\s|$)

from the computer ([^\s]+)

Código do erro Sim

Sim

Sim

Sim

Sim

Sim

1

1

1

1

1

1

Error Code[:\\\s=]*([^\s&]+)

error status[:\\\s=]+([^\s&\.]+)

Result Code[:\\\s=]*([^\s&]+)

Error value[:\\\s=]+([^\s:&]+)

Failure Code[:\\\s=]*([^\s&]+)

Status[:\\\s=]*([^\s&]+)

EventID Sim

Sim

Sim

1

1

1

(?:EventID|EventIDCode|externalId)[:\s\\=]+(\d+)

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

Código de Erro Estendido Sim 1 Sub[\s,_]*Status[:\\\s=]+([^\s&]+)
Nome do Arquivo Sim

Sim

Sim

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

Relative Target Name:\s.*\\(.*?)\s+Access Request Information:

file:.*\\(.*?)\sowned\sby

Diretório de Arquivos Sim 1

file:(.*?)\\[^\\]*?\s+owned\sby

Relative Target Name:\s+(.*)\\.*?\s+Access Request Information:

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)

Extensão de Arquivo Sim

Sim

Sim

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\.*?\.([^\\\.]*?)\s+(?:Handle ID|&&)

Relative Target Name[:\s]*.*\\[^\.]*?\.(.*?)\s+Access Request Information:

file:.*\\.*?\.(.*?)\sowned\sby

Caminho de Arquivo Não 1

file:(.*?)\sowned\sby

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\\=]+(.*?)\s+(?:Handle ID| &&)

Relative Target Name:\s+(.*?)\s+Access Request Information:

Domínio do Grupo Não

Não

Não

1

1

1

(?:Group Domain|Target Domain)[:=\s\\]+([^\s]+)

Group[\s\:]+.*?Account Domain[\s\:\\=]+([^\s]+)

(?:Group Domain|New Domain)[:=\s\\]+([^\s]+)

Nome do grupo Sim

Sim

Sim

1

1

1

(?:Group Name|New Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|New Domain|Group:|&&)

(?:Group Name|Target Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|Target Domain|Group:|&&)

Group[\s\:]+.*?Account Name[\s\:\\=]+(.*?)\s+(?:Account Domain|&&)

ID de Segurança do Grupo Não

Não

Não

Não

1

1

1

1

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|Account Name|&&)

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|&&)

Target Account ID[:=\s\\]+(.*?)\s+(?:Caller User Name|&&)

New Account ID[:\s\\=]+(.*?)(?:\s+Caller User Name|&&)

GroupID Não 1 Group ID[:\s\\=]*(\d+)
Diretório Inicial Não 1 Home Directory[:\s]*(.*?)\s+Home Drive:
Nome do usuário do inicializador Sim 1 Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)
Tipo de Logon Sim 1 Logon Type[:\s\\=]+(\d+)
Message Não 1 Message=(.+)
ObjectName Sim

Sim

1

1

Object Name[:\s\\=]+(.*?)\s+(?:Object Value Name|&&)

Object Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)

Nota: O evento Success Audit na expressão System.Information para este regex é desativado por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho.
ObjectType Não 1 Object Type[:\s\\=]*([^\s&]*)
Nome do processo pai Não

Não

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line

Caminho do Processo Pai Não

Não

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:

Process CommandLine Sim 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type|\t|\s\s|&&)
Nome do Processo Sim

Sim

Sim

1

1

1

Process Name[:\s\\=]+(?:.*\\)+(.*?)\s+(?:Network Information|\s|&&)

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Target Process Name.*\\(.*?)\s+(?:New Token Information|&&)

Nota: A expressão System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho.
Caminho do Processo Não

Não

Não

1

1

1

New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type:|&&)

Caller Process Name[:\s\\=]+(.*?)\s+(?:Network Information|&&)

Número de Registro Não 1 RecordNumber=(\d*)
Chave de registro Sim

Sim

Sim

Sim

1

1

1

1

Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Object Value Name|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Handle ID|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Handle ID|&&)

Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Object Value Name|&&)

Dados do Valor do Registro Sim 1 New Value[:\\=]\s+(.+)
Nome do Valor do Registro Sim 1 Object Value Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)
Nome da Conta SAM Não 1 S(?:AM|am) Account Name[:\s]*(.*?)\s+Display Name:
Escopo Não 1 Scope:\s(.*?)\s+(\d+|$)
Nome do Serviço Sim

Sim

Sim

1

1

1

Service Name[:\s\\=]*(.*?)\s+(?:Service ID:|&&)

\\SYSTEM\\ControlSet\d*\\Services\\(.*?)\s+Object Value Name

Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)

Nome Compartilhado. Sim 1 Share Name[:\s].*?\\([^\\]*?)\s+Share Path:
Caminho de Compartilhamento Não

Não

1

1

Share Path[\:\s]*(.*)

Share Path[\:\s]*(.*?)\s+Access Request Information:

ID de Segurança da Conta Alvo Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

1

2

1

1

1

1

1

1

1

1

1

New Logon.*?Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

(Assigned\sTo|Removed\sFrom):\s+(.*?)\s+?(Assigned|Removed)\sBy:

New Token Information[:\=\s\\]+Security ID[:\=\s\\]+(.*?)\s+(?:Account Name|&&|\s)

Target Subject[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Member[\:\s]+(?:Security )?ID[\:\s\\=]+(.*?)\s+(?:(?:Target\s)?Account Name|&&)

Target Account ID[:\s\\=]+(.*?)\s+(?:Caller Machine Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Account Domain|Caller User Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

New Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

Account That Was Locked Out[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Account For Which Logon Failed.*?Security ID[\:\\\=\s]+(.*?)\s+(?:Account Name|&&)

Domínio do Computador de Destino Não

Não

Não

1

1

1

New Computer Account:.*Account Domain:\s(.*?)\s+Attributes:

Computer Account That Was Changed:.*Account Domain:\s(.*?)\s+Changed Attributes:

Target Computer:.*Account Domain:\s(.*?)\s+Additional Information:

Nome do Computador de Destino Não

Não

Não

1

1

1

Target Computer:.*Account Name[:\s]*(.*?)\s+Account Domain:

Computer Account That Was Changed:.*Account Name[:\s]*(.*?)\s+Account Domain:

New Computer Account:.*Account Name[:\s]*(.*?)\s+Account Domain:

Domínio do Usuário Alvo Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

Não

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

New Account.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Account Domain[\:\\\=\s]+([^\s]+)

New Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[:\s\\=]+([^\s]+)

Target Account ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Caller

Target Domain[\:\\\=\s]+([^\s]+)

Member[\:\s]+(?:Security )?ID[\:\s]+([^\s\\]*?)\\.*?\s+(?:Target\s)?Account Name

New Logon:.*?Account Domain[\:\\\=\s]+([^\s]+)

Account That Was Locked Out[\s\:]*Security ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Account Name

Account For Which Logon Failed.*?Account Domain[\:\\\=\s]+([^\s]+)

New Token Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Subject.*?Account Domain[\:\\\=\s]+([^\s]+)

dntdom=([^\s]+)

Nome do Usuário de Destino Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

Sim

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:New Right:|Removed Right:|&&|\s)

Member[\:\s]+(?:Security )?ID[\:\s]+(?:[^\s\\]*?)\\(.*?)\s+(?:Target\s)?Account Name

Whose Credentials Were Used:.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)

Account That Was Locked Out.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Additional Information|&&)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Account For Which Logon Failed.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

Target Account.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&|\s)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Target Account ID:|&&)

duser=([^&]*?)\s+duid

New Account Name[:\s]*(.*?)\s*(?:Additional Information:|&&)

Target Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

New Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|New Domain:|&&)

New Token Information:.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|&&)

Target User Name[:\s\\=]*(.*?)\s*(?:Target Domain:|&&)

New Logon.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)

TaskName Não

Não

1

1

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task Content:|&&)

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task New Content:|&&)

Tipo de Criptografia Ticket Sim 1 Ticket Encryption Type[\s:\\=]*(0[xX][0-9a-fA-F]+)
Domínio de usuário Não

Não

Não

Não

Não

Não

1

1

1

1

1

1

Account Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Supplied Realm Name[:\s]+([^\s]+)

Caller Domain:\s+([^\s]+)

Subject.*?Domain[\:\\\=\s]{2,}([^\s]+)

User domain:\s+([^\s]+)

Primary Domain[:\s\\=]*([^\s]+)

Nome Principal do Usuário Não 1 User Principal Name[:\s]*(.*?)\s+Home Directory:
Direito do Usuário Não 1 User\sRight:\s+(.*?)\s+?(Assigned\sTo|Removed\sFrom):
Estações de trabalho do usuário Não 1 User Workstations[:\s]*(.*?)\s+Password Last Set:

As propriedades de evento customizado a seguir são removidas do IBM Security QRadar Custom Properties para o Microsoft Windows Content Extension 1.0.4 A remoção não afetará o ambiente. É possível revisar seu uso da propriedade e atualizar a propriedade de substituição conforme necessário.

Tabela 22 Propriedades customizadas substituídas na 1.0.4
Propriedade customizada removida Substituído por
Conta bloqueada Nome da conta Nome do Usuário de Destino
Identificador de segurança segurança bloqueado da conta ID de Segurança da Conta Alvo
Domínio de conta com falha de logon da conta Domínio do Usuário Alvo
Conta com Falha de Logon de Logon Nome do Usuário de Destino
Identificador de segurança com falha de logon da conta ID de Segurança da Conta Alvo
AccountDomain Domínio de usuário
AccountName Nome do usuário do inicializador
Nome do Computador Caller Nome de Computador
Domínio do Caller Domínio de usuário
Nome do Processo do Caller Caminho do Processo
FILE Nome do Arquivo

Extensão de Arquivo

Nome da Conta Membro Nome do Usuário de Destino
ID de Segurança do Membro ID de Segurança da Conta Alvo
Novo Domínio da Conta Domínio do Usuário Alvo
Novo Nome da Conta Nome do Usuário de Destino
Novo ID de Segurança da Conta ID de Segurança da Conta Alvo
Novo Domínio de Conta de Logon Domínio do Usuário Alvo
Novo Nome Da Conta De Logon Nome do Usuário de Destino
Novo ID de Segurança de Logon ID de Segurança da Conta Alvo
Novo Nome do Processo Nome do Processo

A propriedade original (Novo Nome do Processo) retornou o caminho do processo (diretório e nome juntos). A nova propriedade (Nome do Processo) retorna apenas o nome do processo.

Novo Domínio da Conta de Toque Domínio do Usuário Alvo
Novo Nome Da Conta Token Nome do Usuário de Destino
Novo ID de Segurança do token ID de Segurança da Conta Alvo
Domínio primário Domínio de usuário
Domínio Domínio de usuário
Estação de Trabalho de Origem Nome de Computador
Domínio da Conta de Assunto Domínio de usuário
Nome da Conta de Assunto Nome do usuário do inicializador
ID Security ID ID de Segurança da Conta
Domínio Da Conta Alvo Domínio do Usuário Alvo
Nome da Conta de Destino Nome do Usuário de Destino
Domínio de Destino Domínio do Usuário Alvo
Nome do processo de destino Nome do Processo

(Voltar para o topo)

IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.1

A tabela a seguir mostra as propriedades de eventos customizados no IBM Security QRadar Custom Properties para o Microsoft Windows Content Extension 1.0.1

Tabela 23. Propriedades de evento customizado no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.0.1
Nome Otimizada Grupo de Captura Expressão regular
Acessos Sim 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
Conta bloqueada Nome da conta Não 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
Identificador de segurança segurança bloqueado da conta Não 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
Domínio de conta com falha de logon da conta Não 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
Conta com Falha de Logon de Logon Não 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
Identificador de segurança com falha de logon da conta Não 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
ID de Segurança da Conta Não 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain Sim 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID Sim 1 Reprovado
AccountName Sim

Sim

Sim

1

1

1

Reprovado

Reprovado

Reprovado

Designando o nome do arquivo de imagem do processo Não 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
Nome do Computador Caller Não 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
Domínio do Caller Não 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
Nome do Processo do Caller Não 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
Nome do Usuário Caller Não 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes Sim 1 Changed\sAttributes:\s+(.*)
Domínio do Cliente Não 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
Nome do Usuário do Cliente Não 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
Computer Não 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
Domínio da Conta Usada Não 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
Credenciais usadas Nome da Conta Não 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
Domínio Não 4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
Código do erro Não 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
Código de identificador de evento Não 1 \tEventIDCode=(.*?)\t
EventID Sim

Sim

Sim

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

FILE Não 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
Domínio do Grupo Não

Não

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)

Nome do grupo Não

Não

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)

ID de Segurança do Grupo Não

Não

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)

GroupID Sim 1 Group ID: (\d+)
Diretório Inicial Não 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
Tipo de Logon Não 1 \sLogon\sType:\s+(\d+)(\s|$)
Nome da Conta Membro Não 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
ID de Segurança do Membro Não 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
Message Não 1 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
Novo Domínio da Conta Não 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
Novo Nome da Conta Não 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
Novo ID de Segurança da Conta Não 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
Novo Domínio de Conta de Logon Não 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
Novo Nome Da Conta De Logon Não 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
Novo ID de Segurança de Logon Não 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
Novo nome do arquivo de imagem do processo Não 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
Novo Nome do Processo Não 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
Novo Domínio da Conta de Toque Não 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
Novo Nome Da Conta Token Não 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
Novo ID de Segurança do token Não 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName Sim

Sim

1

1

Reprovado

Reprovado

ObjectType Sim 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
Domínio primário Não 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
Nome do Usuário Principal Não 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
Nome do Processo Não 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
Domínio Sim 1 Supplied Realm Name: (.*?)[ ]
Número de Registro Não 1 \tRecordNumber=(.*?)\t
Nome da Conta SAM Não 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
Escopo Sim 1 Scope:\s(.*?)\s+(\d+|$)
Nome do Usuário secundário Não 1 \tSecondaryUserName=(.*?)\t
Nome do Serviço Não 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
Nome Compartilhado. Não 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
Estação de Trabalho de Origem Sim 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
Domínio da Conta de Assunto Não 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
Nome da Conta de Assunto Não 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
ID Security ID Não 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
Domínio Da Conta Alvo Não 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
Nome da Conta de Destino Não 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
ID de Segurança da Conta Alvo Não

Não

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:

Domínio de Destino Não 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
Nome do processo de destino Não 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
Nome do Usuário de Destino Não 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
Conta do usuário Não 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
Domínio de usuário Não 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
Nome do usuário Não 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
Nome Principal do Usuário Não 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
Direito do Usuário Não 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
Estações de trabalho do usuário Não 1 \s\sUser\sWorkstations:\s(.*?)\s\s

(Voltar para o topo)

IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.0.0

A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.0

Tabela 24. Propriedades do evento customizado no IBM Security QRadar Propriedades customizadas para Microsoft Windows Content Extension 1.0.0
Nome Otimizada Grupo de Captura Expressão regular
Acessos Sim 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
Conta bloqueada Nome da conta Não 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
Identificador de segurança segurança bloqueado da conta Não 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
Domínio de conta com falha de logon da conta Não 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
Conta com Falha de Logon de Logon Não 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
Identificador de segurança com falha de logon da conta Não 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
ID de Segurança da Conta Não 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain Sim 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID Sim 1 Target Account ID: (.*?)
AccountName Sim

Sim

Sim

1

1

1

New Account Name: (.*?)

Target Account Name: (.*?)

Account Name:\s*(.+?)\s+(Additional Information|Account Domain|Service Information|SID History|Access Granted|Access Removed|Group|Display Name|Supplied Realm Name|Workstation|New Domain):

Designando o nome do arquivo de imagem do processo Não 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
Nome do Computador Caller Não 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
Domínio do Caller Não 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
Nome do Processo do Caller Não 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
Nome do Usuário Caller Não 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes Sim 1 Changed\sAttributes:\s+(.*)
Domínio do Cliente Não 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
Nome do Usuário do Cliente Não 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
Computer Não 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
Domínio da Conta Usada Não 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
Credenciais usadas Nome da Conta Não 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
Domínio Não 4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
Código do erro Não 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
Código de identificador de evento Não 1 \tEventIDCode=(.*?)\t
EventID Sim

Sim

Sim

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

FILE Não 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
Domínio do Grupo Não

Não

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)

Nome do grupo Não

Não

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)

ID de Segurança do Grupo Não

Não

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)

GroupID Sim 1 Group ID: (\d+)
Diretório Inicial Não 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
Tipo de Logon Não 1 \sLogon\sType:\s+(\d+)(\s|$)
Nome da Conta Membro Não 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
ID de Segurança do Membro Não 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
Message Não 22 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
Novo Domínio da Conta Não 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
Novo Nome da Conta Não 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
Novo ID de Segurança da Conta Não 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
Novo Domínio de Conta de Logon Não 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
Novo Nome Da Conta De Logon Não 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
Novo ID de Segurança de Logon Não 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
Novo nome do arquivo de imagem do processo Não 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
Novo Nome do Processo Não 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
Novo Domínio da Conta de Toque Não 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
Novo Nome Da Conta Token Não 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
Novo ID de Segurança do token Não 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName Sim

Sim

1

1

Object Name: (.*?)

New Process Name: (.*?)

ObjectType Sim 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
Domínio primário Não 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
Nome do Usuário Principal Não 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
Nome do Processo Não 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
Domínio Sim 1 Supplied Realm Name: (.*?)[ ]
Número de Registro Não 1 \tRecordNumber=(.*?)\t
Nome da Conta SAM Não 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
Escopo Sim 1 Scope:\s(.*?)\s+(\d+|$)
Nome do Usuário secundário Não 1 \tSecondaryUserName=(.*?)\t
Nome do Serviço Não 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
Nome Compartilhado. Não 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
Estação de Trabalho de Origem Sim 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
Domínio da Conta de Assunto Não 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
Nome da Conta de Assunto Não 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
ID Security ID Não 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
Domínio Da Conta Alvo Não 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
Nome da Conta de Destino Não 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
ID de Segurança da Conta Alvo Não

Não

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:

Domínio de Destino Não 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
Nome do processo de destino Não 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
Nome do Usuário de Destino Não 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
Conta do usuário Não 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
Domínio de usuário Não 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
Nome do usuário Não 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
Nome Principal do Usuário Não 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
Direito do Usuário Não 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
Estações de trabalho do usuário Não 1 \s\sUser\sWorkstations:\s(.*?)\s\s

(Voltar para o topo)

A tabela a seguir mostra os IDs de eventos e os nomes de eventos nos quais as propriedades de eventos customizados no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension se baseiam

Tabela 25. IDs de Evento em IBM Segurança QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.2.1
ID de Evento Nome do Evento
1 Criação do Processo
2 Um processo mudou um tempo de criação de arquivos
3 Conexão de rede detectada
5 Processo finalizado
7 Imagem carregada
8 Criar RemoteThread
22 ProcessAccess
11 FileCreate
13 Evento de Registro (Conjunto de Valor)
15 FileCreateStreamHash
22 Consulta DNS
23 Exclusão do Arquivo
513 Auditoria de Sucesso: Uma conta de usuário foi criada
537 Falha de logon-A tentativa de Logon falhou por outras razões
627 Auditoria De Sucesso: Tentativa De Mudança De Senha Conseguiu
631 Grupo Criado
632 Membro Do Grupo Global Incluído
634 Grupo excluído
636 Membro Do Grupo Local Incluído
637 Membro Do Grupo Local Removido
850 Configuração Do Firewall Windows
4103 Chamada De Comando De Registro De Logs
4104 Bloco De Script Executado / Compilado
4624 Auditoria de Sucesso: Uma conta foi logada com sucesso
4625 Auditoria de Falha: Uma conta falhou no log on
4648 Auditoria de Sucesso: Um logon foi bem-sucedido usando credenciais explícitas
4656 Auditoria de Falha: Uma alça a um objeto foi solicitada
4657 Auditoria de Sucesso: Um valor de registro foi modificado
4662 Auditoria de Sucesso: Uma operação foi realizada em um objeto
4663 Auditoria de Sucesso: Uma tentativa foi feita para acessar um objeto
4670 Auditoria de Sucesso: Permissões em um objeto foram alteradas
4688 Auditoria de Sucesso: Um novo processo foi criado
4689 Auditoria de Sucesso: Um processo foi exitado
4696 Auditoria de Sucesso: Um token primário foi designado para o processo
4698 Auditoria de Sucesso: Uma tarefa programada foi criada
4702 Auditoria de Sucesso: Uma tarefa agendada foi atualizada
4720 Auditoria de Sucesso: Uma conta de usuário foi criada
4723 Auditoria de Sucesso: Uma tentativa foi feita para alterar uma senha de uma conta
4725 Auditoria de Sucesso: Uma conta de usuário foi desativada
4726 Uma conta de usuário foi excluída
4727 Auditoria de Sucesso: um grupo global habilitado para a segurança foi criado
4728 Auditoria de Sucesso: Um membro foi adicionado a um grupo global habilitado para a segurança
4729 Auditoria de Sucesso: Um membro foi removido de um grupo global habilitado para a segurança
4730 Auditoria de Sucesso: Um grupo global habilitado para a segurança foi excluído
4732 Auditoria de Sucesso: Um membro foi adicionado a um grupo local habilitado para a segurança
4733 Auditoria de Sucesso: Um membro foi removido de um grupo local habilitado para a segurança
4735 Auditoria de Sucesso: Um grupo local habilitado para segurança foi alterado
4737 Auditoria de Sucesso: Um grupo global habilitado para a segurança foi alterado
4738 Auditoria de Sucesso: Uma conta de usuário foi alterada
4740 Auditoria de Sucesso: Uma conta de usuário foi bloqueada
4741 Auditoria de Sucesso: Uma conta de computador foi criada
4742 Auditoria de Sucesso: Uma conta de computador foi alterada
4743 Auditoria de Sucesso: Uma conta de computador foi excluída
4754 Auditoria de Sucesso: um grupo universal habilitado para a segurança foi criado
4755 Auditoria de Sucesso: Um grupo universal habilitado para a segurança foi alterado
4756 Auditoria de Sucesso: Um membro foi adicionado a um grupo universal habilitado para a segurança
4761 Auditoria de Sucesso: Um membro foi adicionado a um grupo universal com deficiência
4762 Auditoria de Sucesso: Um membro foi removido de um grupo universal com deficiência de segurança
4767 Auditoria de Sucesso: Uma conta de usuário foi desbloqueada
4768 Auditoria de Sucesso: Um bilhete de autenticação Kerberos (TGT) foi solicitado
4769 Auditoria de Falha: Um ticket de serviço Kerberos foi rejeitado
5140 Um objeto de compartilhamento de rede foi acessado
5142 Objeto De Compartilhamento De Rede Incluído
5145 Auditoria De Sucesso: Objeto de Compartilhamento De Rede Verificado para Acesso

(Voltar para o topo)