框
使用 IBM 安全性 QRadar Box 内容扩展的自定义属性来密切监控网络上的 Box 活动。
IBM Security QRadar Box 内容扩展的定制属性 1.0.0
下表显示了 IBM Security QRadar Custom Properties for Box Content Extension 1.0.0中的定制属性。
| 名称 | 已优化 | 表达式 |
|---|---|---|
| 警报标识 | 否 | /"additional_details"/"shield_alert"/"alert_id" |
| 警报严重性 | 否 | /"additional_details"/"shield_alert"/"priority" |
| 活动类型 | 否 | "event_type": " (?!SHIELD_ALERT) \w *) " |
| 文件目录 | 是 | "item_path": "([\w\d/] *)" |
| 文件标识 | 是 | "item_id": "(\d *)" |
| 文件大小 | 否 | /"additional_details"/"shield_alert"/"malware_info"/"file_size_bytes" |
| 文件名 | 是 | "item_name": "([\w\.\d] *)" |
| 区域 | 是 | "region_name": "([\w\s] *)" |
| 风险得分 | 否 | /"additional_details"/"shield_alert"/"risk_score" |
| 规则详细信息 | 是 | /"additional_details"/"shield_alert"/"alert_summary"/"description" |
| 规则标识 | 否 | /"additional_details"/"shield_alert"/"rule_id" |
| 规则名 | 是 | /"additional_details"/"shield_alert"/"rule_name" |
| 服务名称 | 是 | "service_name": "([\w\s] *)" |
| 会话标识 | 否 | /"session_id" |
| SHA1 散列 | 是 | /"additional_details"/"shield_alert"/"malware_info"/"file_hash" |
| 威胁系列 | 否 | /"additional_details"/"shield_alert"/"malware_info"/"family" |
| 威胁名称 | 是 | /"additional_details"/"shield_alert"/"malware_info"/"malware_name" |
| 用户标识 | 是 | /"additional_details"/"shield_alert"/"user"/"id" |