Microsoft Windows
Use a IBM Security QRadar Custom Properties for Microsoft Windows Content Extension para expandir QRadar as pesquisas e os relatórios normalizando dados de eventos específicos de uma fonte de registro. Também é possível deixar dados importantes mais visíveis em regras, procuras e relatórios.
A Extensão de Conteúdo de Propriedade do Windows suporta a análise apenas dos formatos de eventos delimitados por tabulação WinCollect.
- Use expressões regulares (regex) para analisar eventos formatados em XML.
- Evite misturar expressões regex e XML na mesma propriedade, pois isso pode prejudicar o desempenho da análise e causar um comportamento imprevisível.
Para obter uma lista de IDs e nomes de eventos nos quais o IBM Security QRadar Custom Properties para Microsoft Windows Content Extension são baseados, consulte aqui..
IBM Security QRadar Propriedades Customizadas para Extensão de Conteúdo do Microsoft Windows
- IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Content Extension 1.2.9
- Propriedades personalizadas IBM Security QRadar para extensão de conteúdo Microsoft Windows 1.2.8
- IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.7
- IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.6
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.2.5
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.2.4
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.2.3
- IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.2
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.1
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.0
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.8
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.7
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.6
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.5
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.4
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.3
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.2
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.1
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.1.0
- IBM Security QRadar Propriedades Customizadas para a Extensão de Conteúdo do Microsoft Windows 1.0.5
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Extensão de Conteúdo 1.0.4
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.1
- IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.0
IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Content Extension 1.2.9
As seguintes expressões regulares para a propriedade Extensão de arquivo foram atualizadas:
| ID da expressão regex | Expressão regular |
|---|---|
| 028e41cb-74f7-41d3-b5bd-378c5a1fb01d | TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime |
| e4349d47-a2dd-46c7-a028-1f1457560a3b | TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Hashes |
| 27b28d8b-2876-4e1d-8126-4b643dfe6881 | Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle |
| 29f5ac46-341e-49b6-8fc3-513b0cc26c23 | ImageLoaded:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+FileVersion |
| 32ac2a10-1a1b-4f40-8296-9275ce9627e0 | Relative Target Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request
Information |
| 4a691bc1-d1a4-4356-8027-2fa93a55c0e5 | Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle |
| 793f755e-dc59-466c-bf41-67d9715b9be2 | Relative Target Name:\s+[^\\]+(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access
Request Information |
| 9662fc2c-61e5-48cf-9d00-412d7534a0c8 | TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime |
| ac769579-8e07-4755-aab0-0bc6489c7325 | Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle |
| aec96349-bf39-40a6-b549-373a835f7fbd | file:\/\/\\?(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\sowned\sby |
| d9f7021c-7b5f-46ff-8bdf-c7d277052955 | Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle |
| db21bfe3-3ee3-49d2-9160-c28e204649a7 | Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle |
Propriedades personalizadas IBM Security QRadar para extensão de conteúdo Microsoft Windows 1.2.8
A tabela a seguir mostra as propriedades personalizadas do IBM Security QRadar para o Microsoft Windows Content Extension 1.2.8.
| Nome da antiga propriedade | Novo nome da propriedade |
|---|---|
| EventID | ID de Evento |
| ObjectType | ObjectType |
| GroupID | ID do grupo |
| ObjectName | Object Name |
| Nome de Computador | Identificador da Máquina |
| Nome do Usuário de Destino | Nome do usuário de destino |
| Estações de trabalho do usuário | Identificador da Máquina |
| Process CommandLine | Comando |
| TaskName | Nome da Tarefa |
| SharePath | Caminho de Compartilhamento |
| Nome do usuário do inicializador | Nome do usuário do inicializador |
| ID da Máquina | Identificador da Máquina |
| Id do processo | ID de processo |
| GUID do processo | GUID do processo |
| Guid do Processo Pai | GUID do processo pai |
| UrlHost | Host de URL |
| Imagem | Caminho do Processo |
| StartAddress | Endereço de início |
| PipeName | Nome do Canal |
| Nome do host de destino | Nome do host de destino |
| ServiceFileName | Nome do arquivo de serviço |
| ParentCommandLine | Comando pai |
IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.7
A propriedade personalizada Key Length é nova na IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.7. Essa propriedade personalizada define a extração personalizada padrão do Key Length (Comprimento da chave) da carga útil do DSM.
| Nome | Novo ou atualizado | Grupo de Captura | Expressão regular | Descrição |
|---|---|---|---|---|
| Versão do mecanismo | Novo | 1 | .*\bEngineVersion=([\.0-9]*)\b.* |
Nova propriedade de evento personalizado. |
| Versão do host | Novo | 1 | .*\bHostVersion=([\.0-9]*)\b.* |
Nova propriedade de evento personalizado. |
| Histórico do SID | Novo | 1 | .*\s+SID History:\s+(S-\S+)\b.* |
Nova propriedade de evento personalizado. |
| Delegação | Novo | 1 | AllowedToDelegateTo:\s*(.*\S)\s+Old UAC Value: |
Nova propriedade de evento personalizado. |
| Nome de exibição doLDAP | Novo | 1 | LDAP Display Name:\s*(.*\S)\s+Syntax \(OID\): |
Nova propriedade de evento personalizado. |
| Classe de Objeto | Novo | 1 | Object.*Class:\s*(\S*) |
Nova propriedade de evento personalizado. |
| Chave de registro | Atualizado | 1 | TargetObject:\s+(.*?)\\[^\\]+(?:\s+[^:]+|$) |
Expressão regular atualizada. |
| Nome do Valor do Registro | Atualizado | 1 | TargetObject:\s+.*?\\([^\\]+?)(?:\s+[^:]+|$) |
Expressão regular atualizada. |
| Dados do Valor do Registro | Atualizado | 1 | Details:\s+(.*?)(?:\s+User:\s+|$ |
Expressão regular atualizada. |
| Nome do Canal | Atualizado | Categoria alterada para qualquer / qualquer. Nome da propriedade alterado de PipeName para Pipe Name. |
||
| Comprimento da chave | Atualizado | Tipo alterado de alfanumérico para numérico. | ||
| ID de Evento | Atualizado | Nome da propriedade alterado de EventID para Event ID. | ||
| ObjectType | Atualizado | Nome da propriedade alterado de ObjectType para Object Type. | ||
| ID do grupo | Atualizado | Nome da propriedade alterado de GroupID para Group ID. | ||
| Nome do projeto | Atualizado | Nome da propriedade alterado de ObjectName para Object Name. | ||
| Nome do usuário de destino | Atualizado | O nome da propriedade foi alterado de Nome de usuário de destino para Nome de usuário de destino. | ||
| Comando | Atualizado | Nome da propriedade alterado de Process CommandLine para Command. | ||
| Nome da Tarefa | Atualizado | Nome da propriedade alterado de TaskName para Task Name. | ||
| Caminho de Compartilhamento | Atualizado | Nome da propriedade alterado de SharePath para Share Path. | ||
| Nome do usuário do inicializador | Atualizado | O nome da propriedade foi alterado de Nome de usuário do iniciador para Nome de usuário do iniciador. | ||
| Identificador da Máquina | Atualizado | O nome da propriedade foi alterado de ID da máquina para Identificador da máquina. O nome da propriedade foi alterado de Nome do computador para Identificador da máquina. Nome da propriedade alterado de Estações de trabalho do usuário para Identificador da máquina. |
||
| ID de processo | Atualizado | O nome da propriedade foi alterado de Process Id para Process ID. | ||
| GUID do processo | Atualizado | Nome da propriedade alterado de Process Guid para Process GUID. | ||
| Guid do Processo Pai | Atualizado | Nome da propriedade alterado de Guia do processo pai para Guia do processo pai. | ||
| Host de URL | Atualizado | Nome da propriedade alterado de UrlHost para URL Host. | ||
| Caminho do Processo | Atualizado | O nome da propriedade foi alterado de Imagem para Caminho do processo. | ||
| Endereço de início | Atualizado | Nome da propriedade alterado de StartAddress para Start Address. | ||
| Nome do host de destino | Atualizado | O nome da propriedade foi alterado de Nome do host de destino para Nome do host de destino. | ||
| Nome do arquivo de serviço | Atualizado | Nome da propriedade alterado de ServiceFileName para Service Filename. | ||
| Comando pai | Atualizado | Nome da propriedade alterado de ParentCommandLine para Parent Command. |
IBM Segurança QRadar Propriedades personalizadas para Microsoft Windows Extensão de conteúdo 1.2.6
A propriedade personalizada Key Length é nova na IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.6. Essa propriedade personalizada define a extração personalizada padrão do Key Length (Comprimento da chave) da carga útil do DSM.
| Nome | ID de propriedade personalizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Comprimento da chave | c732c6c4-3e1d-4116-88c5-b2df0782f711 | 1 | Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID) |
IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.2.5
A tabela a seguir mostra as expressões regex atualizadas em IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.5
| Nome | ID da expressão regex | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|---|
| FILE | aec96349-bf39-40a6-b549-373a835f7fbd | Sim | 1 | file:.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\sowned\sby |
| Imagem Carregada | 29f5ac46-341e-49b6-8fc3-513b0cc26c23 | Sim | 1 | ImageLoaded:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion |
| Object Name | 27b28d8b-2876-4e1d-8126-4b643dfe6881 | Sim | 1 | Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle |
| 4a691bc1-d1a4-4356-8027-2fa93a55c0e5 | Sim | 1 | Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle |
|
| ac769579-8e07-4755-aab0-0bc6489c7325 | Sim | 1 | Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle |
|
| d9f7021c-7b5f-46ff-8bdf-c7d277052955 | Sim | 1 | Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle |
|
| db21bfe3-3ee3-49d2-9160-c28e204649a7 | Sim | 1 | Object Name:\s+.*?\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle |
|
| Nome de destino relativo | 32ac2a10-1a1b-4f40-8296-9275ce9627e0 | Sim | 1 | Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request
Information |
| 793f755e-dc59-466c-bf41-67d9715b9be2 | Sim | 1 | Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request
Information |
|
| Nome do arquivo de destino | 028e41cb-74f7-41d3-b5bd-378c5a1fb01d | Sim | 1 | TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime |
| 9662fc2c-61e5-48cf-9d00-412d7534a0c8 | Sim | 1 | TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime |
|
| e4349d47-a2dd-46c7-a028-1f1457560a3b | Sim | 1 | TargetFilename:\s+.*?\.([^\\]*?)\s+Hashes |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.4
A tabela a seguir mostra as propriedades de evento customizado que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.4
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Destino do Consumidor | Sim | 1 | Destination:\s+"(.*?)"$ |
| Nome de destino relativo | Não | 1 | Relative Target Name[:\s\\=]*\s+([^&]*?)\s+Access |
A tabela a seguir mostra as propriedades de evento customizado que têm novas expressões no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.4
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome do Processo | Sim | 1 | SourceImage\:\s(?:.*\\)?([\w\.\-\d]+)\sTargetProcessG |
| Caminho do Processo | Sim | 1 | SourceImage\:\s+(.*?)\s+TargetProcessGUID |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.3
A tabela a seguir mostra as propriedades de eventos customizados que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.3
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Atributo Novo Valor | Não | 1 | Value: ([^\s]*?)(?:\s|$) |
| Pacote de Autenticação | Sim | 1 | Authentication Package:\s+(.*?)\s+Transited |
| Iniciados | Sim | 1 | Initiated:\s+(.*?)\s+SourceIsIpv6 |
| Processo de logon | Sim | 1 | Logon Process:\s+(.*?)\s+Authentication |
| Nome do Servidor de Destino | Não | 1 | Target Server Name:\s(.*?)\sAdditional |
A tabela a seguir mostra as propriedades de evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.2.3
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| PipeName | Sim | 1 | PipeName\:\s(.*)\sImage |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.2
A propriedade customizada Process CommandLine recebeu uma atualização para remover uma expressão regular duplicada.
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.1
A tabela a seguir mostra as propriedades de evento customizado que possuem novas expressões no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.1
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Domínio de usuário | Sim | 1 | Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID) |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.0
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.2.0.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Extensão de Arquivo | Sim | 1 | ImageLoaded:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion |
| Nome do Arquivo | Sim | 1 | ImageLoaded:\s+.*?([^\\]*?)\s+FileVersion |
| Nível de integridade | Sim | 1 | IntegrityLevel:\s(\w+) |
| ParentCommandLine | Sim | 1 | ParentCommandLine:\s(.*) |
| Id do processo | Sim | 1 | ProcessId:\s+(\d+) |
| Nome do Processo | Sim | 1 |
|
| Assinado | Sim | 1 | Signed:\s(true|false) |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.8
A tabela a seguir mostra as propriedades de eventos customizados que são novas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.1.8
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Argumento codificado | Sim | 1 |
|
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.7
A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.7.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome do Serviço | Sim | 1 | (?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&) |
| ServiceFileName | Sim | 1 | (?i)Service\sFile\sName\:\s*(.*)\sService\sType |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.6
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.1.6
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome do Processo | Sim | 1 |
|
| Nome do Processo Finalizado | Sim | 1 |
|
| Diretório de Arquivos de Destino | Não | 1 | cs-bytes[=\s\t](\d+) |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.5
A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.5
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Nome do host de destino | Sim | 1 | DestinationHostname:\s+(.+?)\s+ |
| EventID | Sim | 1 |
|
| Nome do Arquivo | Sim | 1 | TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime |
| GUID do processo | Não | 1 | ProcessGuid: \{(.*?)\} |
| Id do processo | Não | 1 | ProcessId:\s+(\d+) |
| Nome do Processo | Sim | 1 |
|
| Diretório de Arquivos de Destino | Sim | 1 | TargetFilename:\s+(.*?)\s+CreationUtcTime: |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.4
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Custom Properties para Microsoft Windows Content Extension 1.1.4.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| PipeName | Sim | 1 | PipeName\:\s\\(.*)\sImage |
IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.1.3
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.3.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Hash MD5 | Sim | 1 |
|
| Process CommandLine | Sim | 1 | Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type) |
| Nome do Processo | Sim | 1 | Process Name[:\s\\=]+(?:.*\\)?(.*?)\s+(?:Network
Information|\s|&&) |
| SHA1 Hash | Sim | 1 | SHA1=(\w+) |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.2
Todos os valores de expressão regular de extensão do arquivo foram atualizados para levar em conta a extensão executável oculta e para excluir o versionamento de arquivo.
A tabela a seguir mostra as propriedades de eventos customizados que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.2.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Diretório de Arquivos | Sim | 1 |
|
| Extensão de Arquivo | Sim | 1 |
|
| Nome do Arquivo | Sim | 1 | TargetFilename:\s?.*\\(.*?)\s+Hashes |
| Hash IMP | Sim | 1 | IMPHASH=(\S+) |
| Hash MD5 | Não | 1 | MD5=([^\,]+) |
| ObjectType | Sim | 1 | Object Type[:\s\\=]*([^\s&]*) |
| Nome do Processo | Sim | 1 |
|
| SHA1 Hash | Não | 1 | SHA1=(\w+) |
| Hash SHA256 | Sim | 1 | SHA256=([^\,]+) |
| Endereço de início | Sim | 1 | StartAddress:\s(.*?)\s |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.1
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.1
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Número de Registro | Sim | 1 | RecordNumber=(\d*) |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.0
A tabela a seguir mostra as propriedades de evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.1.0..
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Diretório de Arquivos | Sim | 1 |
|
| Extensão de Arquivo | Sim | 1 |
|
| Nome do Arquivo | Sim | 1 |
|
| Nome do Host | Sim | 1 | Host Name = ([^\s]+) |
| Imagem | Sim | 1 |
|
| Hash IMP | Sim | 1 |
|
| ID da Máquina | Sim | 1 | Computer=([^\s]+) |
| Hash MD5 | Sim | 1 |
|
| Message | Sim | 1 | subject(?:[^,]*?,){11}([^,]*?)\, |
| Guid do Processo Pai | Sim | 1 | ParentProcessGuid: \{(.*?)\} |
| ID do Processo Principal | Sim | 1 | ParentProcessId:\s+(\d+) |
| Nome do processo pai | Sim | 1 | ParentImage:\s?.*\\([^\s]+)\sParentCommandLine |
| Caminho do Processo Pai | Sim | 1 | ParentImage:\s*(.+?)\s+ParentCommandLine: |
| Process CommandLine | Sim | 1 |
|
| Id do processo | Sim | 1 | ProcessId:\s+(\d+) |
| Nome do Processo | Sim | 1 |
|
| Caminho do Processo | Sim | 1 |
|
| Chave de registro | Sim | 1 | TargetObject:\s+(.*)\\.*\s+Details: |
| Dados do Valor do Registro | Sim | 1 | Details:\s+(.*) |
| Nome da Regra | Sim | 1 | RuleName[:\s\\=]+([^\s&]+)\s+EventType |
| Hash SHA256 | Sim | 1 |
|
| Nome do Usuário de Destino | Sim | 1 | Account Name:\s+.*?Account Name:\s+([^\s]*) |
| Tipo de Elevação Token | Sim | 1 | Token Elevation Type: (%%\d{4}) |
| UrlHost | Sim | 1 |
|
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.5
A tabela a seguir mostra as propriedades do evento customizado que são atualizadas no IBM Security QRadar Propriedades Customizadas para o Microsoft Windows Content Extension 1.0.5
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| GroupID | Sim | 1 | Group ID[:\s\\=]*(\d+) |
| Nome do processo pai | Sim Sim |
1 1 |
|
| Caminho do Processo Pai | Sim Sim |
1 1 |
|
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.4
A tabela a seguir mostra as propriedades de evento customizado que são novas ou atualizadas no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.4.
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Máscara de Acesso | Sim | 1 |
Nota: A expressão
System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho. |
| Acessos | Sim Sim |
1 1 |
Nota: A expressão
System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho. |
| ID de Segurança da Conta | Não Não |
1 1 |
Nota: O regex
Subject:\s+ ... é desativado por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho. |
| Nome de Computador | Não Não Não Não Não |
1 1 1 1 1 |
|
| Código do erro | Sim Sim Sim Sim Sim Sim |
1 1 1 1 1 1 |
|
| EventID | Sim Sim Sim |
1 1 1 |
|
| Código de Erro Estendido | Sim | 1 | Sub[\s,_]*Status[:\\\s=]+([^\s&]+) |
| Nome do Arquivo | Sim Sim Sim |
1 1 1 |
|
| Diretório de Arquivos | Sim | 1 |
|
| Extensão de Arquivo | Sim Sim Sim |
1 1 1 |
|
| Caminho de Arquivo | Não | 1 |
|
| Domínio do Grupo | Não Não Não |
1 1 1 |
|
| Nome do grupo | Sim Sim Sim |
1 1 1 |
|
| ID de Segurança do Grupo | Não Não Não Não |
1 1 1 1 |
|
| GroupID | Não | 1 | Group ID[:\s\\=]*(\d+) |
| Diretório Inicial | Não | 1 | Home Directory[:\s]*(.*?)\s+Home Drive: |
| Nome do usuário do inicializador | Sim | 1 | Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account
Domain|&&) |
| Tipo de Logon | Sim | 1 | Logon Type[:\s\\=]+(\d+) |
| Message | Não | 1 | Message=(.+) |
| ObjectName | Sim Sim |
1 1 |
Nota: O evento
Success Audit na expressão System.Information para este regex é desativado por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho. |
| ObjectType | Não | 1 | Object Type[:\s\\=]*([^\s&]*) |
| Nome do processo pai | Não Não |
1 1 |
|
| Caminho do Processo Pai | Não Não |
1 1 |
|
| Process CommandLine | Sim | 1 | Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation
Type|\t|\s\s|&&) |
| Nome do Processo | Sim Sim Sim |
1 1 1 |
Nota: A expressão
System.Information para este regex é desativada por padrão, uma vez que pode retornar muitas correspondências de eventos e afetar o desempenho. |
| Caminho do Processo | Não Não Não |
1 1 1 |
|
| Número de Registro | Não | 1 | RecordNumber=(\d*) |
| Chave de registro | Sim Sim Sim Sim |
1 1 1 1 |
|
| Dados do Valor do Registro | Sim | 1 | New Value[:\\=]\s+(.+) |
| Nome do Valor do Registro | Sim | 1 | Object Value Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&) |
| Nome da Conta SAM | Não | 1 | S(?:AM|am) Account Name[:\s]*(.*?)\s+Display Name: |
| Escopo | Não | 1 | Scope:\s(.*?)\s+(\d+|$) |
| Nome do Serviço | Sim Sim Sim |
1 1 1 |
|
| Nome Compartilhado. | Sim | 1 | Share Name[:\s].*?\\([^\\]*?)\s+Share Path: |
| Caminho de Compartilhamento | Não Não |
1 1 |
|
| ID de Segurança da Conta Alvo | Não Não Não Não Não Não Não Não Não Não Não |
1 2 1 1 1 1 1 1 1 1 1 |
|
| Domínio do Computador de Destino | Não Não Não |
1 1 1 |
|
| Nome do Computador de Destino | Não Não Não |
1 1 1 |
|
| Domínio do Usuário Alvo | Não Não Não Não Não Não Não Não Não Não Não Não Não Não Não |
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 |
|
| Nome do Usuário de Destino | Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim Sim |
1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 |
|
| TaskName | Não Não |
1 1 |
|
| Tipo de Criptografia Ticket | Sim | 1 | Ticket Encryption Type[\s:\\=]*(0[xX][0-9a-fA-F]+) |
| Domínio de usuário | Não Não Não Não Não Não |
1 1 1 1 1 1 |
|
| Nome Principal do Usuário | Não | 1 | User Principal Name[:\s]*(.*?)\s+Home Directory: |
| Direito do Usuário | Não | 1 | User\sRight:\s+(.*?)\s+?(Assigned\sTo|Removed\sFrom): |
| Estações de trabalho do usuário | Não | 1 | User Workstations[:\s]*(.*?)\s+Password Last Set: |
As propriedades de evento customizado a seguir são removidas do IBM Security QRadar Custom Properties para o Microsoft Windows Content Extension 1.0.4 A remoção não afetará o ambiente. É possível revisar seu uso da propriedade e atualizar a propriedade de substituição conforme necessário.
| Propriedade customizada removida | Substituído por |
|---|---|
| Conta bloqueada Nome da conta | Nome do Usuário de Destino |
| Identificador de segurança segurança bloqueado da conta | ID de Segurança da Conta Alvo |
| Domínio de conta com falha de logon da conta | Domínio do Usuário Alvo |
| Conta com Falha de Logon de Logon | Nome do Usuário de Destino |
| Identificador de segurança com falha de logon da conta | ID de Segurança da Conta Alvo |
| AccountDomain | Domínio de usuário |
| AccountName | Nome do usuário do inicializador |
| Nome do Computador Caller | Nome de Computador |
| Domínio do Caller | Domínio de usuário |
| Nome do Processo do Caller | Caminho do Processo |
| FILE | Nome do Arquivo Extensão de Arquivo |
| Nome da Conta Membro | Nome do Usuário de Destino |
| ID de Segurança do Membro | ID de Segurança da Conta Alvo |
| Novo Domínio da Conta | Domínio do Usuário Alvo |
| Novo Nome da Conta | Nome do Usuário de Destino |
| Novo ID de Segurança da Conta | ID de Segurança da Conta Alvo |
| Novo Domínio de Conta de Logon | Domínio do Usuário Alvo |
| Novo Nome Da Conta De Logon | Nome do Usuário de Destino |
| Novo ID de Segurança de Logon | ID de Segurança da Conta Alvo |
| Novo Nome do Processo | Nome do Processo A propriedade original (Novo Nome do Processo) retornou o caminho do processo (diretório e nome juntos). A nova propriedade (Nome do Processo) retorna apenas o nome do processo. |
| Novo Domínio da Conta de Toque | Domínio do Usuário Alvo |
| Novo Nome Da Conta Token | Nome do Usuário de Destino |
| Novo ID de Segurança do token | ID de Segurança da Conta Alvo |
| Domínio primário | Domínio de usuário |
| Domínio | Domínio de usuário |
| Estação de Trabalho de Origem | Nome de Computador |
| Domínio da Conta de Assunto | Domínio de usuário |
| Nome da Conta de Assunto | Nome do usuário do inicializador |
| ID Security ID | ID de Segurança da Conta |
| Domínio Da Conta Alvo | Domínio do Usuário Alvo |
| Nome da Conta de Destino | Nome do Usuário de Destino |
| Domínio de Destino | Domínio do Usuário Alvo |
| Nome do processo de destino | Nome do Processo |
IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.1
A tabela a seguir mostra as propriedades de eventos customizados no IBM Security QRadar Custom Properties para o Microsoft Windows Content Extension 1.0.1
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Acessos | Sim | 1 | [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):) |
| Conta bloqueada Nome da conta | Não | 2 | \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s |
| Identificador de segurança segurança bloqueado da conta | Não | 2 | \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s |
| Domínio de conta com falha de logon da conta | Não | 2 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s |
| Conta com Falha de Logon de Logon | Não | 2 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s |
| Identificador de segurança com falha de logon da conta | Não | 1 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s |
| ID de Segurança da Conta | Não | 2 | \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s |
| AccountDomain | Sim | 3 | \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| AccountID | Sim | 1 | Reprovado |
| AccountName | Sim Sim Sim |
1 1 1 |
Reprovado Reprovado Reprovado |
| Designando o nome do arquivo de imagem do processo | Não | 2 | \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s |
| Nome do Computador Caller | Não | 1 | \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t) |
| Domínio do Caller | Não | 2 | \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:) |
| Nome do Processo do Caller | Não | 1 | \s\sCaller\sProcess\sName:\s(.*?)\s\s |
| Nome do Usuário Caller | Não | 3 | \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:) |
| ChangedAttributes | Sim | 1 | Changed\sAttributes:\s+(.*) |
| Domínio do Cliente | Não | 2 | \s\sClient\sDomain:(\s{0,2})(.*?)\s\s |
| Nome do Usuário do Cliente | Não | 2 | \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s |
| Computer | Não | 7 | (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t |
| Domínio da Conta Usada | Não | 3 | \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| Credenciais usadas Nome da Conta | Não | 3 | \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s |
| Domínio | Não | 4 | (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:) |
| Código do erro | Não | 8 | (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([
.:,]|$) |
| Código de identificador de evento | Não | 1 | \tEventIDCode=(.*?)\t |
| EventID | Sim Sim Sim |
1 1 1 |
|
| FILE | Não | 3 | (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby) |
| Domínio do Grupo | Não Não |
2 3 |
|
| Nome do grupo | Não Não |
2 6 |
|
| ID de Segurança do Grupo | Não Não |
3 3 |
|
| GroupID | Sim | 1 | Group ID: (\d+) |
| Diretório Inicial | Não | 2 | \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s |
| Tipo de Logon | Não | 1 | \sLogon\sType:\s+(\d+)(\s|$) |
| Nome da Conta Membro | Não | 5 | (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):) |
| ID de Segurança do Membro | Não | 4 | (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:)) |
| Message | Não | 1 | (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+) |
| Novo Domínio da Conta | Não | 6 | \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s |
| Novo Nome da Conta | Não | 5 | \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s |
| Novo ID de Segurança da Conta | Não | 2 | \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s |
| Novo Domínio de Conta de Logon | Não | 3 | \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| Novo Nome Da Conta De Logon | Não | 3 | \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s |
| Novo ID de Segurança de Logon | Não | 3 | \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s |
| Novo nome do arquivo de imagem do processo | Não | 3 | \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s |
| Novo Nome do Processo | Não | 2 | \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:) |
| Novo Domínio da Conta de Toque | Não | 2 | \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s |
| Novo Nome Da Conta Token | Não | 2 | \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s |
| Novo ID de Segurança do token | Não | 1 | \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s |
| ObjectName | Sim Sim |
1 1 |
Reprovado Reprovado |
| ObjectType | Sim | 1 | Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress): |
| Domínio primário | Não | 2 | \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s |
| Nome do Usuário Principal | Não | 2 | \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s |
| Nome do Processo | Não | 2 | \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$) |
| Domínio | Sim | 1 | Supplied Realm Name: (.*?)[ ] |
| Número de Registro | Não | 1 | \tRecordNumber=(.*?)\t |
| Nome da Conta SAM | Não | 2 | \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:) |
| Escopo | Sim | 1 | Scope:\s(.*?)\s+(\d+|$) |
| Nome do Usuário secundário | Não | 1 | \tSecondaryUserName=(.*?)\t |
| Nome do Serviço | Não | 5 | \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:) |
| Nome Compartilhado. | Não | 2 | \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:) |
| Estação de Trabalho de Origem | Sim | 6 | (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:) |
| Domínio da Conta de Assunto | Não | 5 | (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:) |
| Nome da Conta de Assunto | Não | 5 | (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:) |
| ID Security ID | Não | 5 | (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:) |
| Domínio Da Conta Alvo | Não | 3 | \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t) |
| Nome da Conta de Destino | Não | 6 | \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:) |
| ID de Segurança da Conta Alvo | Não Não |
3 2 |
|
| Domínio de Destino | Não | 2 | \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:) |
| Nome do processo de destino | Não | 1 | \s\sTarget\sProcess\sName:\s(.*?)\s\s |
| Nome do Usuário de Destino | Não | 1 | \s\sTarget\sUser\sName:\s(.*?)\s\s |
| Conta do usuário | Não | 1 | \sUser\saccount:\s(.*?)\sUser\sdomain: |
| Domínio de usuário | Não | 2 | \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:) |
| Nome do usuário | Não | 3 | (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:) |
| Nome Principal do Usuário | Não | 1 | \s\sUser\sPrincipal\sName:\s(.*?)\s\s |
| Direito do Usuário | Não | 1 | User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$): |
| Estações de trabalho do usuário | Não | 1 | \s\sUser\sWorkstations:\s(.*?)\s\s |
IBM Security QRadar Propriedades Customizadas do Microsoft Windows Content Extension 1.0.0
A tabela a seguir mostra as propriedades de evento customizado no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension 1.0.0
| Nome | Otimizada | Grupo de Captura | Expressão regular |
|---|---|---|---|
| Acessos | Sim | 1 | [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):) |
| Conta bloqueada Nome da conta | Não | 2 | \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s |
| Identificador de segurança segurança bloqueado da conta | Não | 2 | \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s |
| Domínio de conta com falha de logon da conta | Não | 2 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s |
| Conta com Falha de Logon de Logon | Não | 2 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s |
| Identificador de segurança com falha de logon da conta | Não | 1 | \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s |
| ID de Segurança da Conta | Não | 2 | \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s |
| AccountDomain | Sim | 3 | \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| AccountID | Sim | 1 | Target Account ID: (.*?) |
| AccountName | Sim Sim Sim |
1 1 1 |
|
| Designando o nome do arquivo de imagem do processo | Não | 2 | \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s |
| Nome do Computador Caller | Não | 1 | \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t) |
| Domínio do Caller | Não | 2 | \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:) |
| Nome do Processo do Caller | Não | 1 | \s\sCaller\sProcess\sName:\s(.*?)\s\s |
| Nome do Usuário Caller | Não | 3 | \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:) |
| ChangedAttributes | Sim | 1 | Changed\sAttributes:\s+(.*) |
| Domínio do Cliente | Não | 2 | \s\sClient\sDomain:(\s{0,2})(.*?)\s\s |
| Nome do Usuário do Cliente | Não | 2 | \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s |
| Computer | Não | 7 | (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t |
| Domínio da Conta Usada | Não | 3 | \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| Credenciais usadas Nome da Conta | Não | 3 | \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s |
| Domínio | Não | 4 | (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:) |
| Código do erro | Não | 8 | (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([
.:,]|$) |
| Código de identificador de evento | Não | 1 | \tEventIDCode=(.*?)\t |
| EventID | Sim Sim Sim |
1 1 1 |
|
| FILE | Não | 3 | (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby) |
| Domínio do Grupo | Não Não |
2 3 |
|
| Nome do grupo | Não Não |
2 6 |
|
| ID de Segurança do Grupo | Não Não |
3 3 |
|
| GroupID | Sim | 1 | Group ID: (\d+) |
| Diretório Inicial | Não | 2 | \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s |
| Tipo de Logon | Não | 1 | \sLogon\sType:\s+(\d+)(\s|$) |
| Nome da Conta Membro | Não | 5 | (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):) |
| ID de Segurança do Membro | Não | 4 | (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:)) |
| Message | Não | 22 | (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+) |
| Novo Domínio da Conta | Não | 6 | \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s |
| Novo Nome da Conta | Não | 5 | \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s |
| Novo ID de Segurança da Conta | Não | 2 | \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s |
| Novo Domínio de Conta de Logon | Não | 3 | \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s |
| Novo Nome Da Conta De Logon | Não | 3 | \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s |
| Novo ID de Segurança de Logon | Não | 3 | \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s |
| Novo nome do arquivo de imagem do processo | Não | 3 | \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s |
| Novo Nome do Processo | Não | 2 | \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:) |
| Novo Domínio da Conta de Toque | Não | 2 | \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s |
| Novo Nome Da Conta Token | Não | 2 | \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s |
| Novo ID de Segurança do token | Não | 1 | \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s |
| ObjectName | Sim Sim |
1 1 |
|
| ObjectType | Sim | 1 | Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress): |
| Domínio primário | Não | 2 | \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s |
| Nome do Usuário Principal | Não | 2 | \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s |
| Nome do Processo | Não | 2 | \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$) |
| Domínio | Sim | 1 | Supplied Realm Name: (.*?)[ ] |
| Número de Registro | Não | 1 | \tRecordNumber=(.*?)\t |
| Nome da Conta SAM | Não | 2 | \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:) |
| Escopo | Sim | 1 | Scope:\s(.*?)\s+(\d+|$) |
| Nome do Usuário secundário | Não | 1 | \tSecondaryUserName=(.*?)\t |
| Nome do Serviço | Não | 5 | \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:) |
| Nome Compartilhado. | Não | 2 | \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:) |
| Estação de Trabalho de Origem | Sim | 6 | (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:) |
| Domínio da Conta de Assunto | Não | 5 | (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:) |
| Nome da Conta de Assunto | Não | 5 | (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:) |
| ID Security ID | Não | 5 | (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:) |
| Domínio Da Conta Alvo | Não | 3 | \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t) |
| Nome da Conta de Destino | Não | 6 | \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:) |
| ID de Segurança da Conta Alvo | Não Não |
3 2 |
|
| Domínio de Destino | Não | 2 | \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:) |
| Nome do processo de destino | Não | 1 | \s\sTarget\sProcess\sName:\s(.*?)\s\s |
| Nome do Usuário de Destino | Não | 1 | \s\sTarget\sUser\sName:\s(.*?)\s\s |
| Conta do usuário | Não | 1 | \sUser\saccount:\s(.*?)\sUser\sdomain: |
| Domínio de usuário | Não | 2 | \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:) |
| Nome do usuário | Não | 3 | (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:) |
| Nome Principal do Usuário | Não | 1 | \s\sUser\sPrincipal\sName:\s(.*?)\s\s |
| Direito do Usuário | Não | 1 | User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$): |
| Estações de trabalho do usuário | Não | 1 | \s\sUser\sWorkstations:\s(.*?)\s\s |
A tabela a seguir mostra os IDs de eventos e os nomes de eventos nos quais as propriedades de eventos customizados no IBM Security QRadar Propriedades Customizadas para Microsoft Windows Content Extension se baseiam
| ID de Evento | Nome do Evento |
|---|---|
| 1 | Criação do Processo |
| 2 | Um processo mudou um tempo de criação de arquivos |
| 3 | Conexão de rede detectada |
| 5 | Processo finalizado |
| 7 | Imagem carregada |
| 8 | Criar RemoteThread |
| 22 | ProcessAccess |
| 11 | FileCreate |
| 13 | Evento de Registro (Conjunto de Valor) |
| 15 | FileCreateStreamHash |
| 22 | Consulta DNS |
| 23 | Exclusão do Arquivo |
| 513 | Auditoria de Sucesso: Uma conta de usuário foi criada |
| 537 | Falha de logon-A tentativa de Logon falhou por outras razões |
| 627 | Auditoria De Sucesso: Tentativa De Mudança De Senha Conseguiu |
| 631 | Grupo Criado |
| 632 | Membro Do Grupo Global Incluído |
| 634 | Grupo excluído |
| 636 | Membro Do Grupo Local Incluído |
| 637 | Membro Do Grupo Local Removido |
| 850 | Configuração Do Firewall Windows |
| 4103 | Chamada De Comando De Registro De Logs |
| 4104 | Bloco De Script Executado / Compilado |
| 4624 | Auditoria de Sucesso: Uma conta foi logada com sucesso |
| 4625 | Auditoria de Falha: Uma conta falhou no log on |
| 4648 | Auditoria de Sucesso: Um logon foi bem-sucedido usando credenciais explícitas |
| 4656 | Auditoria de Falha: Uma alça a um objeto foi solicitada |
| 4657 | Auditoria de Sucesso: Um valor de registro foi modificado |
| 4662 | Auditoria de Sucesso: Uma operação foi realizada em um objeto |
| 4663 | Auditoria de Sucesso: Uma tentativa foi feita para acessar um objeto |
| 4670 | Auditoria de Sucesso: Permissões em um objeto foram alteradas |
| 4688 | Auditoria de Sucesso: Um novo processo foi criado |
| 4689 | Auditoria de Sucesso: Um processo foi exitado |
| 4696 | Auditoria de Sucesso: Um token primário foi designado para o processo |
| 4698 | Auditoria de Sucesso: Uma tarefa programada foi criada |
| 4702 | Auditoria de Sucesso: Uma tarefa agendada foi atualizada |
| 4720 | Auditoria de Sucesso: Uma conta de usuário foi criada |
| 4723 | Auditoria de Sucesso: Uma tentativa foi feita para alterar uma senha de uma conta |
| 4725 | Auditoria de Sucesso: Uma conta de usuário foi desativada |
| 4726 | Uma conta de usuário foi excluída |
| 4727 | Auditoria de Sucesso: um grupo global habilitado para a segurança foi criado |
| 4728 | Auditoria de Sucesso: Um membro foi adicionado a um grupo global habilitado para a segurança |
| 4729 | Auditoria de Sucesso: Um membro foi removido de um grupo global habilitado para a segurança |
| 4730 | Auditoria de Sucesso: Um grupo global habilitado para a segurança foi excluído |
| 4732 | Auditoria de Sucesso: Um membro foi adicionado a um grupo local habilitado para a segurança |
| 4733 | Auditoria de Sucesso: Um membro foi removido de um grupo local habilitado para a segurança |
| 4735 | Auditoria de Sucesso: Um grupo local habilitado para segurança foi alterado |
| 4737 | Auditoria de Sucesso: Um grupo global habilitado para a segurança foi alterado |
| 4738 | Auditoria de Sucesso: Uma conta de usuário foi alterada |
| 4740 | Auditoria de Sucesso: Uma conta de usuário foi bloqueada |
| 4741 | Auditoria de Sucesso: Uma conta de computador foi criada |
| 4742 | Auditoria de Sucesso: Uma conta de computador foi alterada |
| 4743 | Auditoria de Sucesso: Uma conta de computador foi excluída |
| 4754 | Auditoria de Sucesso: um grupo universal habilitado para a segurança foi criado |
| 4755 | Auditoria de Sucesso: Um grupo universal habilitado para a segurança foi alterado |
| 4756 | Auditoria de Sucesso: Um membro foi adicionado a um grupo universal habilitado para a segurança |
| 4761 | Auditoria de Sucesso: Um membro foi adicionado a um grupo universal com deficiência |
| 4762 | Auditoria de Sucesso: Um membro foi removido de um grupo universal com deficiência de segurança |
| 4767 | Auditoria de Sucesso: Uma conta de usuário foi desbloqueada |
| 4768 | Auditoria de Sucesso: Um bilhete de autenticação Kerberos (TGT) foi solicitado |
| 4769 | Auditoria de Falha: Um ticket de serviço Kerberos foi rejeitado |
| 5140 | Um objeto de compartilhamento de rede foi acessado |
| 5142 | Objeto De Compartilhamento De Rede Incluído |
| 5145 | Auditoria De Sucesso: Objeto de Compartilhamento De Rede Verificado para Acesso |