Önceden tanımlı LEEF olay öznitelikleri
Log Event Extended Format (LEEF), olay bilgi yükü için önceden tanımlanmış bir dizi olay özniteliğini destekler.
LEEF, önceden tanımlanmış LEEF olay öznitelikleri olan ad-değer çiftlerinin belirli bir listesini kullanır. Bu anahtarlar, IBM® Security QRadar ®olarak tanımlanabilir. Bu anahtarları aygıtınızda olanağı mümkün olduğunda kullanın, ancak olay yükleriniz bu liste tarafından sınırlı değildir. LEEF genişletilebilir ve aygıtınız ya da uygulamanız için olay bilgi yükine daha fazla anahtar ekleyebilirsiniz.
Aşağıdaki tabloda, önceden tanımlanmış olay öznitelikleri açıklanmaktadır.
| Anahtar | Değer Tipi | Normalleştirilmiş olay alanı? Evet ya da Hayır | Açıklama |
|---|---|---|---|
| cat | Dizgi | Evet | Olay kategorisi için bir kısaltma, EventID alanını, QRadarolarak iletilen LEEF olayına ilişkin daha ayrıntılı bilgilerle genişletmek için kullanılır. LEEF üstbilgisindeki kedi ve EventID alanı, aygıtınızın bir QRadar Identifier (QID) eşleme girdisiyle eşlenmesine yardımcı olur. EventID , birinci kolonu ve kategoriyi QID eşleminin ikinci kolonunu temsil eder. Kısıtlama: Olay kategorisinin değeri, birden çok dili destekleyen ürünler arasında tutarlı ve statik olmalıdır. Ürününüz çok dilli olayları destekliyorsa, cat alanında sayısal bir değer ya da metin değeri kullanabilirsiniz. Aygıtınızın ya da uygulamanızın dili değiştirildiğinde, cat alanındaki değer çevrilmemelidir.
|
cat (devam) |
Dizgi | Evet | Örnek 1: EventID öğesini, olayı açıklamak için ek bilgilerle genişletmek için cat tuşunu kullanın. EventID , bir Kullanıcı Oturum Açma olayı olarak tanımlandıysa, bir başarı ya da başarısız oturum açma gibi etkinliği daha ayrıntılı bir şekilde kategorilere ayırmak için kategoriyi kullanın. You can define your EventIDs further with the cat key, and the extra detail from the event can be used to distinguish between events when the same EventID is used for similar event types, for example, LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Failed LEEF:1.0|Microsoft|Exchange|2013|Login Event|cat=Success Örnek 2: Üst düzey bir olay kategorisi tanımlamak için cat anahtarını kullanın ve alt düzeyi tanımlamak için EventID ' yi kullanın. EventID , QID eşlemindeki herhangi bir değerle eşleşmiyorsa bu durum önemli olabilir. When the EventID doesn't match any value in the QID map, QRadar can use the category and other keys to further determine the general nature of the event. Bu "geri dönüş", olayların bilinmeyen ve QRadar olarak tanımlanmasını önler, olay bilgi yükünün anahtar öznitelik alanlarından bilinen bilgilere dayalı olarak olayları kategorilere ayırabilir. Örneğin, LEEF:1.0|Microsoft|Endpoint|2015| Conficker_worm|cat=Detected |
| devTime | Tarih | Evet | LEEF olayını sağlayan aygıtınız ya da uygulamanız tarafından oluşturulan ham olay tarihi ve saati. QRadar , olay süresini aygıtınızdan ya da uygulacınızdan tanımlamak ve doğru şekilde biçimlendirmek için devTimeFormat ile birlikte devTime anahtarını kullanır. devTime değeri, 10 ya da 13 basamaktan oluşan bir epoch değeriyse, bir devTimeFormat dizgisi gerekmez. Tersi durumda, olay zamanının QRadartarafından doğru olarak ayrıştırıldığından emin olmak için devTime ve devTimeFormat anahtarları birlikte kullanılmalıdır. Olay bilgi yükünde yer alan devTime , olay süresini tanımlamak için kullanılır; syslog üstbilgisinde tarih ve saat damgası yer alır. The syslog header date and time stamp is a fallback identifier, but devTime is the preferred method for event time identification. |
| devTimeFormat | Dizgi | Hayır | Applies formatting to the raw date and time of the devTime key. Olay günlüğünüz devTimeiçeriyorsa, devTimeFormat anahtarı gereklidir. Daha fazla bilgi için bakınız: Custom event date format. |
| proto | Tamsayı ya da Anahtar Sözcük | Evet | Olaya ilişkin iletim protokolünü tanımlar. Anahtar sözcüklerin ya da tamsayı değerlerinin listesi için, Internet Assigny Numbers Authority web sitesine bakın. http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xml |
| sev | Tamsayı | Evet | Olayın önem derecesini belirtir. 1, en düşük olay önem derecesine sahip olur. 10 en yüksek olay önem derecesine sahip olur. Öznitelik Sınırları: 1-10 |
| src | IPv4 ya da IPv6 Adresi | Evet | Olay kaynağının IP adresi. |
| dst | IPv4 ya da IPv6 Adresi | Evet | Olay hedefinin IP adresi. |
| srcPort | Tamsayı | Evet | Olayın kaynak kapısı. Öznitelik Sınırları: 0-65535 |
| dstPort | Tamsayı | Evet | Olayın hedef kapısı. Öznitelik Sınırları: 0-65535 |
| srcPreNAT | IPv4 ya da IPv6 Adresi | Evet | Ağ Adresi Çevirisi (NAT) öncesi olay iletisinin kaynak IP adresi. |
| dstPreNAT | IPv4 ya da IPv6 Adresi | Evet | Ağ Adresi Çevirisi 'nden (NAT) önce olay iletisinin hedef adresi. |
srcPostNAT |
IPv4 ya da IPv6 Adresi | Evet | Ağ Adresi Çevirisi (NAT) işleminden sonra iletinin kaynak IP adresi oluştu. |
| dstPostNAT | IPv4 ya da IPv6 Adresi | Evet | Ağ Adresi Çevirisi (NAT) işleminden sonra iletinin hedef IP adresi. |
| usrName | Dizgi | Evet | Etkinlikle ilişkili kullanıcı adı. Öznitelik Sınırları: 255 |
| srcMAC | MAC Adresi | Evet | Onaltılık olarak olay kaynağının MAC adresi. MAC adresi, iki nokta üst üste iki onaltılı basamaktan oluşur; örneğin, iki nokta üst üste (iki nokta üst üste)
|
| dstMAC | MAC Adresi | Evet | Onaltılık noktadaki olay hedefinin MAC adresi. MAC adresi, iki nokta üst üste iki onaltılı basamaktan oluşur; örneğin, iki nokta üst üste (iki nokta üst üste).
|
| srcPreNATPort | Tamsayı | Evet | Ağ Adresi Çevirisi (NAT) öncesi olay kaynağının kapı numarası. Öznitelik Sınırları: 0-65535 |
| dstPreNATPort | Tamsayı | Evet | Ağ Adresi Çevirisi (NAT) öncesi olay hedefinin kapı numarası. Öznitelik Sınırları: 0-65535 |
| srcPostNATPort | Tamsayı | Evet | Ağ Adres Çevirisi 'nden (NAT) sonra olay kaynağının kapı numarası. Öznitelik Sınırları: 0-65535 |
| dstPostNATPort | Tamsayı | Evet | Ağ Adresi Çevirisi (NAT) işleminden sonra olay hedefinin kapı numarası. Öznitelik Sınırları: 0-65535 |
| identSrc | IPv4 ya da IPv6 Adresi | Evet | Kimlik kaynağı, gerçek kullanıcı kimliği ya da gerçek bilgisayar kimliğine sahip bir olayı bağlayabilen fazladan bir IPv4 ya da IPv6 adresini temsil eder. Örnek 1: Kişinin bir ağ kimliğine bağlanması. Kullanıcı X, dizüstü bilgisayarlarından oturum açar ve ağ üzerindeki paylaşılan bir sisteme bağlanır. Etkinlikleri bir olay oluşturduğunda, bilgi yükündeki identSrc daha fazla IP adresi bilgisi eklemek için kullanılabilir. QRadar uses the identSrc information in the event along with the payload information, such as kullanıcı adı, to identify that user X is bob.smith. Aşağıdaki kimlik anahtarları, olay bilgi yükündeki identSrcs varlığına bağlıdır: identHostName identNetBios identGrpName identMAC |
| identHostName | Dizgi | Anahtar | Bir olaya bağlı olan gerçek ana makine adını daha ayrıntılı olarak tanımlamak için identSrc ile ilişkili anasistem adı bilgileri. identHostName parametresi, QRadar tarafından yalnızca aygıtınız bir olay bilgi yükünde hem identSrc anahtarı, hem de identHostName birlikte sağladığında kullanılabilir. Öznitelik Sınırları: 255 |
| identNetBios | Dizgi | Evet | Kimlik olayını NetBIOS ad çözünürlüyle daha ayrıntılı olarak tanımlamak için identSrc ile ilişkiliNetBIOS adı. identNetBios parametresi, QRadar tarafından yalnızca aygıtınız bir olay bilgi yükünde hem identSrc anahtarı, hem de identNetBios birlikte sağladığında kullanılabilir. Öznitelik Sınırları: 255 |
| identGrpName | Dizgi | Evet | Grup adı çözümlemesiyle kimlik olayını daha ayrıntılı olarak tanımlamak için identSrc ile ilişkili grup adı. identGrpName parametresi, QRadar tarafından yalnızca aygıtınız bir olay bilgi yükünde hem identSrc anahtarı, hem de identGrpName birlikte sağladığında kullanılabilir. Öznitelik Sınırları: 255 |
| identMAC | MAC Adresi | Evet | İleride LEEF biçiminde kullanılmak üzere ayrılmıştır. |
| vSrc | IPv4 ya da IPv6 Adresi | Hayır | Sanal olay kaynağının IP adresi. |
| vSrcName | Dizgi | Hayır | Sanal olay kaynağının adı. Öznitelik Sınırları: 255 |
| accountName | Dizgi | Hayır | Etkinlikle ilişkili hesap adı. Öznitelik Sınırları: 255 |
| srcBytes | Tamsayı | Hayır | Olay kaynağından bayt sayısını gösterir. |
| dstBytes | Tamsayı | Hayır | Olay hedefine bayt sayısını gösterir. |
| srcPackets | Tamsayı | Hayır | Olay kaynağından alınan paket sayısını gösterir. |
| dstPackets | Tamsayı | Hayır | Olay hedefine ilişkin paket sayısını gösterir. |
totalPackets |
Tamsayı | Hayır | Kaynak ve hedef arasında iletilen toplam paket sayısını gösterir. |
| role | Dizgi | Hayır | Olayı yaratan kullanıcı hesabıyla (Administrator, User, Domain Admin.) ilişkili role tipi. |
| realm | Dizgi | Hayır | Kullanıcı hesabıyla ilişkili realm . Aygıtınıza bağlı olarak, genel bir gruplama ya da bölgeye dayalı olarak, örneğin, muhasebe, uzak ofisler olabilir. |
| policy | Dizgi | Hayır | Kullanıcı hesabıyla ilişkili bir policy . Bu policy tipik olarak, kullanıcı hesabına bağlanan güvenlik ilkesi ya da grup ilkesidir. |
| resource | Dizgi | Hayır | Kullanıcı hesabıyla ilişkili bir resource . Bu resource genellikle bilgisayar adıdır. |
| url | Dizgi | Hayır | Olaya dahil edilenURL bilgileri. |
| groupID | Dizgi | Hayır | Kullanıcı hesabıyla ilişkili groupID . |
| domain | Dizgi | Hayır | Kullanıcı hesabıyla ilişkili domain . |
| isLoginEvent | Boole dizgisi | Hayır | Olayın bir kullanıcı oturum açmasıyla ilgili olup olmadığını tanımlar; örneğin, isLoginEvent=true isLoginEvent=false Bu anahtar LEEF belirtiminde ayrılmıştır, ancak QRadariçinde uygulanmaz. Öznitelik Sınırları: true ya da false |
| isLogoutEvent | Boole dizgisi | Hayır | Olayın bir kullanıcı oturumu kapatmasıyla ilgili olup olmadığını tanımlar; örneğin, isLogoutEvent=true isLogoutEvent=false Bu anahtar LEEF belirtiminde ayrılmıştır, ancak QRadariçinde uygulanmaz. Öznitelik Sınırları: true ya da false |
| identSecondlp | IPv4 ya da IPv6 Adresi | Hayır | Kimlik ikinci IP adresi, ikincil IP adresini içeren bir aygıt olayını ilişkilendirmek için kullanılan bir IPv4 ya da IPv6 adresini temsil eder. İkincil IP adresleri, yönlendiriciler, anahtarlar ya da sanal LAN (VLAN) aygıt olaylarına göre olaylarda olabilir. Bu anahtar LEEF belirtiminde ayrılmıştır, ancak QRadariçinde uygulanmaz. |
| calLanguage Öznitelik Sınırları: 2 |
Dizgi | Hayır | Çeviriye izin vermek için aygıt zamanı (devTime) anahtarının dilini tanımlar ve QRadar ' ın çevrilen dillerde oluşturulan olayların tarih ve saatini doğru şekilde değiştirdiğinden emin olmak için bu anahtarı tanımlar. calLanaguage alanı, etkinizin aygıt zamanına ilişkin etkinlik dilini temsil etmek için iki alfasayısal karakter içerebilir. Tüm calLanguage alfasayısal karakterleri, ISO 639-1 biçimini izler; örneğin, calLanguage=fr devTime=avril 09 2014 12:30:55 calLanguage=de devTime=Di 30 Jun 09 14:56:11 Bu anahtar LEEF belirtiminde ayrılmıştır, ancak şu anda QRadariçinde uygulanmaz. Öznitelik Sınırları: 2 |
| calCountryOrRegion | Dizgi | Hayır | Extends the calLanguage key to provide more translation information that can include the country or region for the event device time (devTime). The key calCountryOrRegion must be used with the calLanguage key. calCountryOrRegion alanı, etkinizin aygıt zamanına ilişkin etkinlik ülke ya da bölgesini göstermek için iki alfasayısal karakter içerebilir. Tüm calCountryOrRegion alfasayısal karakterleri, ISO 3166 biçimini izler; örneğin, calLanguage=de calCountryOrRegion=DE devTime=Di 09 Jun 2014 12:30:55 calLanguage=en calCountryOrRegion=US devTime=Tue 30 Jun 09 Bu anahtar LEEF belirtiminde ayrılmıştır, ancak QRadariçinde uygulanmaz. Öznitelik Sınırları: 2 |
key=([^\t]+)olur.- vSrc için giriş
vSrc=([^\t]+). - vSrcName için giriş
vSrcName=([^\t]+). - accountName için giriş
accountName=([^\t]+).
- Sınırlayıcı olarak # kullanırsanız, vSrc için giriş
vSrc=([^#]+)olur. - Sınırlayıcı olarak | kullanılırsa, vSrc için giriş
vSrc=([^|]+)olur.
QRadar V7.3.2 ya da sonraki bir sürümü, hem önceden tanımlanmış hem de özel LEEF olay özniteliklerinin özel özellikleri için özellik otomatik algılamasını içerir. Özellik otomatik saptama, Regex kullanımı olmadan özel özelliklerin yapılandırılmasını kolaylaştırır.