Azure

IBM Security QRadar Azure 内容扩展

IBM Security QRadar Azure 内容扩展 2.1.2
IBM Security QRadar Azure 内容扩展 2.1.1
IBM Security QRadar Azure 内容扩展 2.1.0
IBM Security QRadar Azure 内容扩展 2.0.0
IBM Security QRadar Azure 内容扩展 1.1.2
IBM Security QRadar Azure 内容扩展 1.1.1
IBM Security QRadar Azure 内容扩展 1.1.0
IBM Security QRadar Azure 内容扩展 1.0.2
IBM Security QRadar Azure 内容扩展 1.0.1
IBM Security QRadar Azure 内容扩展 1.0.0

IBM Security QRadar Azure 内容扩展 2.1.2

下表显示了 IBM Security QRadar Azure Content Extension 2.1.2中更新的属性名称。

表 1. 更新了 IBM 安全性 QRadar Azure 内容扩展 2.1.2 中的属性名
类型	属性 ID	旧属性名	基于名称 (新属性名称)
CEP	DEFAULTCUSTOMEVENT14	AccountID	帐户标识
CEP	DEFAULTCUSTOMEVENT11	BytesReceived	已接收的字节数
CEP	DEFAULTCUSTOMEVENT12	BytesSent	已发送的字节数
CEP	002a5618-8f44-41bc-b5aa-bc02153a7d84	机器标识	机器标识
CEP	DEFAULTCUSTOMEVENT13	ObjectType	对象类型
CEP	c3615010-0cb6-43b5-b921-4bcf7737b8ea	进程标识	进程标识
CEP	e7da1cc0-5bf0-48de-86a9-6af817266c7f	目标用户名	目标用户名

下表显示了 IBM Security QRadar Azure Content Extension 2.1.2中更新的正则表达式。

表 2. 更新了 IBM 安全性 QRadar Azure 内容扩展 2.1.2 中的正则表达式
类型	属性 ID	属性名	旧正则表达式	新建正则表达式
CEP	f7a8e3d5-1902-4acf-afe3-e2c4b928d90e	文件目录	路径 ": \s" (. *?)"	路径 ": [\s]?" ([^ "] +)"
CEP	缺省文件名称	文件名	名称 ": \s" (. *?)"	名称 ": [\s]?" ([^ "] +)"

_{(返回到顶部)}

IBM Security QRadar Azure Content Extension 2.1.1

下表显示了 IBM Security QRadar Azure Content Extension 2.1.1中的新定制属性。

表 3. IBM 安全性 QRadar Azure 内容扩展 2.1.1 中的定制属性
名称	已优化	捕获组	正则表达式
属性新值	否	1	`modifiedProperties":.*?newValue":"\\"(admin\|administrator)\\""`

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 2.1.0

下表显示了 IBM Security QRadar Azure Content Extension 2.1.0中的新定制属性。

表 4。 IBM 安全性 QRadar Azure 内容扩展 2.1.0 中的定制属性
名称	已优化	捕获组	正则表达式
错误代码	是	1	errorCode":(.*?),
原因	是	1	failureReason":"(.*?)"
用户代理	否	1	userAgent":"(.*?)"

已除去所有规则，报告和已保存的搜索，并将其添加到 IBM Security QRadar Content Extension for Hybrid Cloud 用例。

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 2.0.0

下表显示了 IBM Security QRadar Azure Content Extension 2.0.0中新的和更新的定制属性。

表 5。 IBM 安全性 QRadar Azure 内容扩展 2.0.0 中的定制属性
名称	已优化	捕获组	正则表达式
帐户名称	是	1	userStates":.?"accountName":\s"(.?)"
警报严重性	否	1	/"严重性"
命令	是	1	commandLine":\s"(.*?)"
文件目录	是	1	路径 ": \s" (. *?)"
文件名	是	1	名称 ": \s" (. *?)"
组名	是	1	securityResources":.*?resourceGroups\/([^\/]+)
登录标识	是	1	logonId":\s"(.*?)"
机器标识	是	1	securityResources":.?\/virtualMachines\/(.?)"
消息	否	1	/"描述"
进程标识	是	1	processId":(.*?)
区域	是	1	"sourceMaterials":.?location\/(.?)"
预订标识	否	1	azureSubscriptionId":\s"(.*?)"
威胁类别	否	1	malwareStates":.? "类别":/s"(.?)"
威胁系列	否	1	系列 ": \s" (. *?)"
威胁补救	否	1	/"recommendedActions"[]
威胁评分	否	1	hostStates":.?"riskScore":\s"(.?)"
用户主体名称	否	1	userPrincipalName":\s"(.*?)"

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 1.1.2

下表显示了 IBM Security QRadar Azure Content Extension 1.1.2中新的和更新的定制属性。

表 6。 IBM 安全性 QRadar Azure 内容扩展 1.1.2 中的定制属性
名称	已优化	捕获组	正则表达式
专有名称	否	1	\buserPrincipalName":"([^@]*)
组名	是	1	Group.DisplayName".?newValue":"(?:\\"){0,1}(.?)(?:\\"){0,1}"}
组安全标识	否	1	Group.ObjectID".?newValue":"(?:\\"){0,1}(.?)(?:\\"){0,1}"}
目标对象标识	否	1	targetResources":\[\{"id":"(.*?)"

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 1.1.1

下表显示了 IBM Security QRadar Azure Content Extension 1.1.1中的新增和更新的定制属性。

表 7。 IBM 安全性 QRadar Azure 内容扩展 1.1.1 中的定制属性
名称	已优化	捕获组	正则表达式
AccountID	是	1	properties. * ?id ":" (. *?) "
警报严重性	否	1	严重性 ":" (. *?) ";
已用 MFA	是	1	RequestSequence. * ?成功 ": (. *?) ，
对象标识	是	1	PrincipalId\\":\\"([^\\].?)\\",\\"PrincipalType\\": targetResources. ?id ":" (. ?) " PrincipalId\\":\\"(.?)\\",\\"PrincipalType\\":
对象类型	是	1	compromisedEntity":"(.?)" \" 范围 \\": \\". \/(. ?) \\" targetResources.?displayName":"(.*?)"
角色名	是	1	Role.DisplayName.?oldValue.?,"newValue":"\\"(.?)\\" \broleName\\":\\"(.?)\\" roleDefinitions\/(.?)\\", targetResources.?displayName":"(.?)" RoleDefinition.DisplayName.?oldValue.?,"newValue":"\\"(.?)\\"
目标用户名	是	1	PrincipalId\\":\\"([^"])\\",\\"RoleDefinitionId\\": \btype ":" Request ". ?id": "(. *?)"
用户标识	是	1	objectidentifier ":" (. *?) "
卷标识	是	1	\bosDisk.?osType.?name\\":\\"(.?)\\" "scope": "[^"] \/disks \/(. *?) (?: \/ \| \")

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 1.1.0

IBM Security QRadar Azure Content Extension V1.1.0 为 Microsoft Azure Active Directory添加定制属性。

下表显示了 IBM Security QRadar Azure Content Extension 1.1.0中的定制属性。

表 8。 IBM 安全性 QRadar Azure 内容扩展 1.1.0 中的定制属性
名称	已优化	捕获组	正则表达式
区域	是	1	\bcountryOrRegion":"([^\"]*)
资源标识	否	1	\bresourceId":"([^\"]*)
服务名称	是	1	\bdisplayName":"([^"]*?)","type":"ServicePrincipal"
源工作站	是	1	\bidentity ":" ([^ \"] *)
租户标识	否	1	\btenantId":"([^\"]*)
用户主体名称	否	1	\buserPrincipalName":"([^\"]*)
用户 PUID	否	1	\bUser\.PUID",.?newValue":["\\]+([^"\\])

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 1.0.2

在 IBM Security QRadar Azure Content Extension V1.0.2中，将更新目标用户名定制属性的 QID。

_{(返回到顶部)}

IBM Security QRadar Azure 内容扩展 1.0.1

下表显示了 IBM Security QRadar Azure Content Extension 1.0.1中的定制属性。

表 9。 IBM 安全性 QRadar Azure 内容扩展 1.0.1 中的定制属性
名称	已优化	捕获组	正则表达式
已接收的字节数	是	1	\"receivedBytes\":(\d+)
BytesSent	是	1	\"sentBytes\":(\d+)
文件名	是	1	"file": ". * \/ ([^"] +) "
组名	是	1	"scope":"[^"]\/resourceGroups\/([^\/]+) "resourceId":"[^"]\/RESOURCEGROUPS\/([^"]*?)\/ resourceGroupName=([^\t]+)
本地网关	否	1	"scope":"[^"]\/localNetworkGateways\/([^"])"
机器标识	是	1	"scope":"[^"]\/virtualMachines\/(.?)(?:\/\|\") resourceId=.?\/virtualMachines\/(.?)\s
消息	否	1	"消息": "(. ?)" "message": "(. ?)"
网络接口	否	1	"scope":"[^"]\/networkInterfaces\/([^"])"
网络安全组	否	1	"resourceId":"[^"]\/NETWORKSECURITYGROUPS\/([^"])" "scope":"[^"]\/networkSecurityGroups\/([^"])"
网络观察者	否	1	"scope":"[^"]\/networkWatchers\/([^"])"
操作标识	否	1	\"operationId\":\"(.*?)\" operationId=([^\t]+)
公共 IP 名称	否	1	"scope":"[^"]\/publicIPAddresses\/([^"])"
区域	是	1	站点 ":" ([^ \"] +) 位置 \ " \: \" ([^ \"] +)
资源标识	否	1	resourceId=([^\t]+) \"resourceId\":\"(.*?)\"
角色名	是	1	roleDefinitions\/(.*?)\\",
规则名	是	1	\"ruleName\":\"(.*?)\"
安全规则	否	1	"scope":"[^"]\/securityRules\/([^"])"
预订标识	否	1	subscriptionId=([^\t]+) "scope": "[^"] * \/subscription \/ ([^ \/] +) "resourceId":"[^"]/SUBSCRIPTIONS\/([^"]?)\/
目标用户名	是	1	PrincipalId\\":\\"([^\\].*?)\\",
用户代理	否	1	\"userAgent\":\"(.*?)\"
虚拟网络	否	1	"scope":"[^"]\/virtualNetworks\/([^"])"

_{(返回到顶部)}

IBM Security QRadar Azure Content Extension 1.0.0

下表显示了 IBM Security QRadar Azure Content Extension 1.0.0中包含的规则。

表 10. IBM 安全性 QRadar Azure 内容扩展 1.0.0 中的规则
类型	名称	描述
规则	Azure Cloud: 已删除安全规则	检测何时删除安全规则。
规则	Azure Cloud: 已创建或更新网络安全组	检测何时创建或更新安全组。
规则	Azure Cloud: 虚拟网络已删除	检测何时删除虚拟网络。
规则	Azure 云: 已删除虚拟网络子网	检测何时删除虚拟网络子网。
规则	Azure Cloud: 已删除虚拟网关连接	检测何时删除虚拟网络网关连接。
规则	Azure Cloud: 本地网关已删除	检测何时删除本地网络网关。
规则	Azure Cloud: 已创建或更新安全规则	检测何时创建或更新安全规则。
规则	Azure Cloud: Virtual Network Peering Deleted	检测何时删除虚拟网络对等。
规则	Azure Cloud: Network Watcher 已删除	检测何时删除网络观察者。
规则	Azure Cloud: 已删除网络安全组	检测何时删除网络安全组。

下表显示了 IBM Security QRadar Azure Content Extension 1.0.0中的报告。

表 11. IBM 安全性 QRadar Azure 内容扩展 1.0.0 中的报告
报告名称	描述
Azure Web 应用程序虚拟连接已删除-每周	为 Azure Web 应用程序虚拟连接提供更大的监视和趋势。
Azure Web 应用程序虚拟连接已删除-每月	为 Azure Web 应用程序虚拟连接提供更大的监视和趋势。
Azure 虚拟网络创建或更新-每周	为 Azure 虚拟网络提供更大的监视和趋势。
Azure 虚拟网络已创建或更新-每月	为 Azure 虚拟网络提供更大的监视和趋势。
Azure 已创建或更新网络安全组-每周	为 Azure 安全组提供更大的监视和趋势。
Azure 已创建或更新网络安全组-每月	为 Azure 安全组提供更大的监视和趋势。
Azure 安全规则创建或更新-每周	为 Azure 安全规则提供更大的监视和趋势。
Azure 安全规则已创建或更新-每月	为 Azure 安全规则提供更大的监视和趋势。
Azure 安全规则已删除-每周	为 Azure 安全规则提供更大的监视和趋势。
Azure 安全规则已删除-每月	为 Azure 安全规则提供更大的监视和趋势。

下表显示了 IBM Security QRadar Azure Content Extension 1.0.0中的已保存搜索。

表 12. IBM 安全性 QRadar Azure 内容扩展 1.0.0 中的已保存搜索
名称	描述
Azure: 已删除安全规则	此搜索由 "安全规则已删除" 报告使用。
Azure: 已创建或更新网络安全组	此搜索由 "安全组已创建" 或 "已更新" 报告使用。
Azure: 已创建或更新安全规则	此搜索由 "已创建的安全规则" 或 "已更新的报告" 使用。
Azure: 已创建或更新虚拟网络	此搜索由 "已创建虚拟网络" 或 "已更新虚拟网络" 报告使用。
Azure: 已删除 Web 应用程序虚拟连接	此搜索由 "Web 应用程序虚拟连接已删除" 报告使用。

_{(返回到顶部)}