Bit9 安全平台
安全内容包将定制事件属性添加到 Bit9 Security Platform 设备。
IBM Security QRadar SIEM 使用 JDBC 从 Bit9 Security Platform 收集事件,用于标准审计、身份验证和系统事件。 此安全内容包包含管理员可以在报告或搜索中利用的重要字段的定制事件属性。 内容包 RPM 在 QRadar随附的现有定制事件属性的基础上添加定制事件属性。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2
下表显示了在 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.2中更新的定制属性。
| 名称 | 已优化 |
|---|---|
| 消息 | 否 |
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.1
下表显示了在 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.1中更新的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 禁止名称 | 是 | 1 | banName=([^\t]+)[\t]* |
| 目标主机名 | 是 | 1 | dstHostName=([^\t]+)[\t]* |
| 外部标识 | 是 | 1 | externalId=([^\t]+)[\t]* |
| 文件散列 | 是 | 1 | fileHash=([^\t]+)[\t]* |
| 文件标识 | 是 | 1 | fileId=([^\t]+)[\t]* |
| 文件路径 | 否 | 1 | filePath=([^\t]+)[\t]* |
| 文件威胁 | 是 | 1 | fileThreat=([^\t]+)[\t]* |
| 文件信任 | 是 | 1 | fileTrust=([^\t]+)[\t]* |
| 文件名 | 是 | 1 | fileName=([^\t]+)[\t]* |
| 指示符名称 | 否 | 1 | indicatorName=([^\t]+)[\t]* |
| 安装程序文件名 | 是 | 1 | installerFileName=([^\t]+)[\t]* |
| 消息 | 是 | 1 | msg = ([^ \t] +) [\t] * |
| 奇偶性校验策略 | 是 | 1 | 策略 = ([^ \t] +) [\t] * |
| 进程密钥 | 是 | 1 | processKey=([^\t]+)[\t]* |
| 流程威胁 | 是 | 1 | processThreat=([^\t]+)[\t]* |
| 流程信任 | 是 | 1 | processTrust=([^\t]+)[\t]* |
| 接收时间 | 是 | 1 | receivedTime=([^\t]+)[\t]* |
| 根散列 | 是 | 1 | rootHash=([^\t]+)[\t]* |
| 规则名 | 是 | 1 | ruleName=([^\t]+)[\t]* |
| 源主机名 | 是 | 1 | srcHostName=([^\t]+)[\t]* |
| 源进程 | 是 | 1 | srcProcess=([^\t]+)[\t]* |
| 更新程序名称 | 否 | 1 | updaterName=([^\t]+)[\t]* |
IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0
下表显示了 IBM Security QRadar Bit9 Security Platform Content Extension V1.0.0中的定制属性。
| 名称 | 描述 |
|---|---|
| 禁止名称 | 用于标识 Bit9 代理程序阻止访问文件的原因的禁令名称。 |
| 指示符名称 | 与事件关联的威胁指示符的名称; 如果存在。 |
| 文件威胁 | 来自与事件关联的文件的 Bit9 SRS 的文件威胁。 暂挂意味着尚未执行 SRS 查找。 这是一个数值:-2 待定 -1 未知 0 无威胁 1 潜在风险 2 恶意。 |
| 文件信任 | 来自与事件关联的文件的 Bit9 SRS 的文件信任。 暂挂意味着尚未执行 SRS 查找。 这是一个数值:-2 待定 -1 未知 0-10 信任值。 |
| 进程密钥 | 用于标识特定计算机上的进程实例的唯一专有密钥。 |
| 流程威胁 | 来自与事件关联的流程的 Bit9 SRS 的流程威胁。 暂挂意味着尚未执行 SRS 查找,但将执行此操作。 |
| 流程信任 | 来自与事件关联的流程的 Bit9 SRS 的流程信任。 暂挂意味着尚未执行 SRS 查找,但将执行此操作。 |
| 更新程序名称 | 与事件相关的更新程序名称。 |