LEEF olay bileşenleri
Günlük Olayı Genişletilmiş Biçimi (LEEF), IBM® QRadar® için, QRadariçin okunabilir ve kolay işlenmemiş olayları içeren uyarlanmış bir olay biçimidir. LEEF biçimi aşağıdaki bileşenlerden oluşur.
Syslog üstbilgisi
Syslog üstbilgisi, olayı sağlayan sistemin zaman damgasını ve IPv4 adresini ya da anasistem adını içerir. Syslog üstbilgisi, LEEF biçiminin isteğe bağlı bir bileşenidir. Bir syslog üstbilgisi eklerseniz, syslog üstbilgisini LEEF üstbilgisinden boşlukla ayırmanız gerekir. Syslog üstbilgisi, RFC 3164 ya da RFC 5424 'te belirtilen biçimlere uymalıdır.
Öncelik etiketi varsa, 1-3 basamak arasında olmalı ve açılı ayraç içine alınmalıdır. Örneğin, < 13 >.
- <13>Jan 18 11:07:53 192.168.1.1
- Jan 18 11:07:53 myhostname
- ' T' nin gerçek bir T karakteri olması gerekir.
- 'Z' değeri hazır z ya da saat dilimi değeri olarak şu biçimde olabilir: -04:00
- < 13 > 1 2019-01-18T11:07:53.520Z 192.168.1.1
- < 133 > 1 2019-01-18T11:07:53.520+07:00 anasistemadı
LEEF üstbilgisi
LEEF üstbilgisi, LEEF olayları için veri girilmesi zorunlu bir alandır. LEEF üstbilgisi, yazılımınızı ya da aygıtınızı QRadar' e tanıtan bir veri bağlantısı sınırlanmış (|) veri kümesidir.
Örnekler:
- LEEEF:Version | Vendor | Product | Version |EventID|
- LEEF:1.0|Microsoft|MSExchange|4.0 SP1|15345|
- LEEF:2.0|Lancope|StealthWatch|1.0|41|^|
Olay öznitelikleri
Olay öznitelikleri, aygıtınız ya da yazılımınız tarafından oluşturulan olayın bilgi yükü bilgilerini tanımlar. Her olay özniteliği, tek tek bilgi yükü olaylarını ayıran bir sekmeye sahip bir anahtar ve değer çiftidir. LEEF biçimi, QRadar ' un etkinliği kategorilere ayırmasına ve görüntülemesine izin veren, önceden tanımlanmış bir dizi olay özniteliği içerir.
- key=value < tab> key = value < tab> key = value < tab> key = value < tab>.
- src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomali srcPort=81 dstPort=21 usrName=joe.black
Özniteliklere alternatif bir sınırlayıcı belirtmek için LEEF 2.0 üstbilgisinde DelimiterCharacter öğesini kullanın. Bu karakter için tek bir karakter ya da onaltılı değer kullanabilirsiniz. Onaltılı değer 0x ya da x önekiyle gösterilebilir, ardından 1-4 karakter (0-9A-Fa-f) dizilerek gösterilebilir.
| Ayırıcı | Üstbilgi |
|---|---|
| Düzeltme işareti (^) | LEEF:2.0|Vendor|Product|Version|EventID|^| |
| İşaretçi (onaltılı değer) | LEEF:2.0|Vendor|Product|Version|EventID|x5E| |
| Kırık dikey çubuk ( | LEEF:2.0|Vendor|Product|Version|EventID|xa6| |
Aşağıdaki çizelge LEEF biçimlerine ilişkin açıklamalar sağlar.
| Tür | Giriş düzeyinde | Ayırıcı | Açıklama |
|---|---|---|---|
Sistem Günlüğü Üstbilgisi |
IP adresi |
Boşluk |
Olayı QRadar' a sağlayan yazılımın ya da aygıtın IP adresi ya da anasistem adı. Örneğin:
192.168.1.1 anasistemadı Olay ardışık işlem hattında olayı doğru günlük kaynağına yönlendirmek için, syslog üstbilgisinin IP adresi QRadar tarafından kullanılır. Syslog üstbilgisinizin bir IPv6 adresi içermesi önerilmez. QRadar , olay ardışık işlem hattı için syslog üstbilgisinde bulunan bir IPv6 adresini yönlendiremez. Ayrıca, kullanıcı arabiriminin Log Source Identifier (Günlük Kaynağı Tanıtıcısı) alanında bir IPv6 adresi düzgün görüntülenmeyebilir. When an IP address of the syslog header cannot be understood by QRadar, the system defaults to the packet address to properly route the event. |
LEEF Üstbilgisi |
LEEF :sürüm |
Düşey çubuk |
LEEF sürüm bilgisi, olay için kullanılan LEEF biçiminin ana ve ikincil sürümünü tanımlayan bir tamsayı değeridir. Örneğin, LEEF:1.0|Vendor|Product|Version|EventID| |
LEEF Üstbilgisi |
Satıcı ya da üretici adı |
Düşey çubuk |
Vendor, syslog olaylarını LEEF biçiminde gönderen aygıtın üreticisini ya da üreticisini tanıtan bir metin dizesidir. Örneğin, LEEF:1.0|Microsoft|Product|Version|EventID| Satıcı ve Ürün alanları, LEEF üstbilgisinde belirtildiğinde benzersiz değerler içermeli. |
LEEF Üstbilgisi |
Ürün Adı |
Düşey çubuk |
Ürün alanı, olay günlüğünü QRadar' a gönderen ürünü tanımlayan bir metin dizilimidir. Örneğin, LEEF:1.0|Microsoft|MSExchange|Version|EventID| Satıcı ve Ürün alanları, LEEF üstbilgisinde belirtildiğinde benzersiz değerler içermeli. |
LEEF Üstbilgisi |
Ürün Sürümü |
Düşey çubuk |
Sürüm, olay günlüğünü gönderen yazılımın ya da aygıtın sürümünü tanımlayan bir dizgidir. Örneğin, LEEF:1.0|Microsoft|MSExchange|4.0 SP1|EventID| |
LEEF Üstbilgisi |
EventID |
Düşey çubuk |
EventID , LEEF üstbilgisindeki bir olaya ilişkin benzersiz bir tanıtıcıdır. EventID ' nin amacı, bilgi yükü bilgilerini incelemesine gerek kalmadan bir olaya ilişkin ince bir tanıtıcı, benzersiz tanıtıcı sağlamaktır. Bir EventID , sayısal bir tanımlama ya da bir metin tanımlaması içerebilir. Örnekler:
Kısıtlamalar: Olay tanıtıcısının değeri, birden çok dili destekleyen ürünler arasında tutarlı ve statik bir değer olmalıdır. Ürününüz çok dilli olayları destekliyorsa, EventID alanında sayısal ya da metinsel bir değer kullanabilirsiniz, ancak aygıtınızın ya da uygulamanızın dili değiştirildiğinde bu değerin çevrilmemesi gerekir. EventID alanı 255 karakteri geçemez. |
LEEF Üstbilgisi |
Sınırlayıcı Karakter |
Düşey çubuk |
Özniteliklere alternatif bir sınırlayıcı belirtmek için LEEF 2.0 üstbilgisinde DelimiterCharacter öğesini kullanın. Bu karakter için tek bir karakter ya da onaltılı değer kullanabilirsiniz. Onaltılı değer 0x ya da x önekiyle gösterilebilir, ardından 1-4 karakter (0-9A-Fa-f) dizilerek gösterilebilir. |
Olay Öznitelikleri |
Önceden Tanımlanmış Anahtar Girişleri |
Sekme Sınırlayıcı Karakter |
Olay özniteliği, güvenlik olayıyla ilgili ayrıntılı bilgi sağlayan bir anahtar değeri çiftleri kümesidir. Her olay özniteliği, sekme ya da sınırlayıcı karakter ile ayrılmalıdır, ancak öznitelik sırası uygulanmaz. Örneğin, src=172.16.77.100 |