定制属性字典
这些属性是占位符。 安装包含这些属性的内容扩展以使用这些属性。
QRadar 或其他内容扩展中的某些规则使用了多个内容扩展中可用的自定义属性。 例如,IBM 安全威胁内容扩展中的 Potential Homoglyph Usage 规则使用了 URLHost 自定义属性,该属性可在多个内容扩展中找到。 虽然您可以创建自己的定制属性,但最好使用现有定制属性,而不是尽可能创建自己的定制属性。
此内容扩展中的占位符属性旨在让您了解可供您使用的定制属性的存在情况。 您可以在 IBM® X-Force® Exchange 门户 (https://exchange.xforce.ibmcloud.com/)中搜索任何这些属性,以找到包含这些属性的内容扩展。
IBM安全QRadar自定义属性字典1.4.1
下表列出了IBMSecurityQRadarCustom Properties Dictionary1.4.1 中新增或更新的自定义属性。
| 名称 | 自定义属性 ID | 已优化 |
|---|---|---|
| 允许 访问 | 默认允许访问 | 是 |
| 访问意向 | 默认访问意图 | 是 |
| 帐户域 | DEFAULTCUSTOMEVENT16 | 是 |
| 帐户标识 | DEFAULTCUSTOMEVENT14 | 否 |
| 警报 SQL DB 名称 | ad70c725-4013-4f9c-b5e7-1505565b8aed | 否 |
| 警报 SQL 用户名 | bede61b6-0cc6-4cff-80b6-cb9683680e59 | 否 |
| 警报类别 | 8d064e99-13b6-4200-9c55-2f83c68a7b1f | 否 |
| 分析仪主机名 | 0f43b2c9-6ac4-419e-91c4-d7761e4b40e6 | 否 |
| 申请名称 | 默认应用程序名称 | 是 |
| 浏览器信息 | d22fdf49-edcc-4ddc-8ae7-b98796f88847 | 否 |
| 旁路请求 | be134a93-f296-401b-820e-58b728cf20ce | 否 |
| 已接收的字节数 | DEFAULTCUSTOMEVENT11 | 是 |
| 已发送的字节数 | DEFAULTCUSTOMEVENT12 | 是 |
| 已更改的属性 | DEFAULTCUSTOMEVENT19 | 否 |
| 完成码 | 默认完成代码 | 是 |
| 完成状态 | 默认完成状态 | 是 |
| 电子邮件主题 | bd2e34ae-104f-4633-a09c-f1248d8c1197 | 否 |
| 内容类型 | 81b1a04b-f5c2-4018-afa8-ca48bdb0aeda | 否 |
| CPU 使用率 | defe371c-dda5-41a6-ae1c-e269e3fd14d6 | 是 |
| 关键度得分 | 55992699-530d-43bd-8e45-ba5d07fbc670 | 否 |
| 当前 SQL 标识 | default_current_sql_id | 是 |
| 数据集名称 | 默认数据集名称 | 是 |
| 数据定义 | default_dd_name | 是 |
| 目的地主机名 | 默认目标主机名 | 是 |
| 分析仪类型 | 2be53d85-21cd-4d0b-93fe-7165f781db1f | 否 |
| 事件标识 | DEFAULTCUSTOMEVENT8 | 是 |
| 威胁执行状态 | 48434b2d-5856-463b-9103-df45aedfa108 | 否 |
| 文件散列 | 默认文件哈希值 | 是 |
| 文件名 | 默认文件名 | 是 |
| 文件大小 | 5b7b76c8-fa9d-4ad2-91bf-6d69000fbaaf | 否 |
| 功能代码 | 默认功能代码 | 是 |
| 组标识 | DEFAULTCUSTOMEVENT17 | 是 |
| 主机状态 | 7608deed-186b-4e1e-80e2-372a773f1246 | 是 |
| 启动者用户名 | 40d41417-9594-4e68-be99-7ccd5a828f4c | 是 |
| 实例标识 | 79e605b9-d7b1-4fd9-a255-f2c2554aedb1 | 是 |
| 作业名 | 默认工作名称 | 是 |
| 作业号 | 默认工作编号 | 是 |
| 工作标签 | fcd3f3cc-ebd9-46ca-9286-a38a14824c78 | 否 |
| 日志字符串 | 默认日志字符串 | 是 |
| 机器标识 | 002a5618-8f44-41bc-b5aa-bc02153a7d84 | 是 |
| 消息标识 | 9d9a57de-99bd-4495-83a3-11e0502cda9a | 是 |
| 全名 | 2194b6b0-b8d5-4048-b2e6-64aad70ad262 | 否 |
| 对象类型 | DEFAULTCUSTOMEVENT13 | 是 |
| 旧数据集名称 | 默认旧数据集名称 | 是 |
| 发送方主机 | bd3b952a-4036-4f9e-aa85-e20ee98ed8fc | 是 |
| 父进程 GUID | f2b6fd22-e55e-44ab-abd5-b406a7fac28b | 否 |
| 父命令 | 167c29dc-0ca1-4556-8058-a7f6496d7f7e | 是 |
| 管道名称 | cb6bc695-4367-4008-bbfe-b588c7ea505a | 是 |
| 入口端口 | 默认入境口岸 | 是 |
| 进程 GUID | 95d2bd09-95a3-4d28-861e-922d3cd89665 | 否 |
| 进程标识 | c3615010-0cb6-43b5-b921-4bcf7737b8ea | 是 |
| 编码命令 | 73ab582c-9d9e-48d5-9ca6-758e708f773e | 是 |
| 收件人 | dee5377f-f33a-438c-b206-fdaf2a93e1c5 | 是 |
| URL 引用 | f967556a-f63c-48d9-a0b1-3ad1762a8d74 | 是 |
| 资源 | DEFAULTCUSTOMEVENT7 | 是 |
| 资源敏感度 | 默认资源敏感度 | 是 |
| 运行级别 | 717b2df1-41fa-44e9-97b0-2ff4374caa79 | 是 |
| 敏感组 | 默认敏感组 | 是 |
| 敏感用户特权 | 默认敏感用户权限 | 是 |
| 服务文件名 | 135b9822-5e07-426e-a4bb-0f693a25fb46 | 是 |
| 共享路径 | 3830765f-4e47-4b2d-91fe-679e0dd92030 | 否 |
| 源主机名 | 默认源主机名 | 是 |
| 源过程路径 | daf362c1-ce5e-49e7-8b7a-0da268414abd | 是 |
| 开始地址 | cecdcd5a-60e9-4c89-8b63-921a77c50c53 | 是 |
| 启动功能 | f52b3cfb-a8db-492f-b273-34c5b5ff1083 | 是 |
| 启动模块 | 23ac846c-7383-4863-b363-37e0fbfef92e | 是 |
| 步骤名称 | 默认步骤名 | 是 |
| 提交者 | 默认提交人 | 是 |
| 子系统名 | 默认子系统名称 | 是 |
| 目标流程名称 | 7453f3f4-58b3-4e08-aa35-372e2a029deb | 是 |
| 目标用户名 | e7da1cc0-5bf0-48de-86a9-6af817266c7f | 是 |
| 目标流程路径 | 1aa29046-3025-4243-8168-6464da805862 | 否 |
| 任务名称 | 4aefc749-73b0-42b3-a1a3-87b0338586c4 | 否 |
| TLS 客户证书 | ec328503-a1d0-4aa6-a206-9d5d14a34f04 | 否 |
| TLS 加密链模式 | 0c4511b3-eb7a-47fb-806e-31b701790ff2 | 否 |
| TLS 加密系列 | 3103ce77-56b4-4c16-8b6f-4a52dc0caf29 | 否 |
| TLS 加密密钥长度 | d3c849f5-9b8d-4097-96c5-891088b112fe | 否 |
| TLS 密钥交换方法 | 90222f9d-de06-4de7-a43d-9984a1528eab | 否 |
| TLS 报文摘要 | e0286d4f-7e2f-4e61-87f0-a03273ac66a2 | 否 |
| TLS 或 SSL 协议级别 | c0fb538e-f4af-4935-aaee-e44bcd6a0db3 | 否 |
| TLS RFC 级别 | c849a775-5ac7-42b0-981b-580612367c05 | 否 |
| 交易名称 | 默认交易名称 | 是 |
| 访问起源 | 默认访问源 | 是 |
| 功能 | 默认函数 | 是 |
| URL 主机 | 641cd865-b9fb-42f5-81a1-664bdab52270 | 是 |
| 用户类型 | d0431023-731f-4e69-bcb6-41bd2f6492f1 | 是 |
| 卷序列号 | 默认卷序列 | 是 |
| 观察清单内容 | d18569ed-127e-42f2-a4b3-6127d33c5402 | 否 |
| 优先级 | 02727d71-bdc3-4d84-a136-a8595199c74c | 是 |
| 目标标识 | de624252-48f8-43b1-ba62-f80e29ec2b86 | 是 |
| 目标对象 ID | aa7b8c3a-3b4a-431c-8be7-5bdaab4c3741 | 否 |
| 密钥长度 | c732c6c4-3e1d-4116-88c5-b2df0782f711 | 是 |
| 引擎版本 | 72bcfadf-f06c-4579-90cc-085d6fb6adb0 | 是 |
| 主机版本 | 55d248db-ef40-4710-841c-4102780bd2c1 | 是 |
| SID 历史 | ec100ee3-02e3-4f76-97a7-3500cce5b3ef | 是 |
| 授权 | 9dbdae29-4973-4421-897d-138673b21ae0 | 否 |
| LDAP 显示名称 | 97e88fa5-c411-4522-8253-45191438d5e3 | 否 |
| 对象类 | 603cfca9-9c2d-4d8f-936d-2d738fd86675 | 否 |
IBM Security QRadar 定制属性字典 1.4.0
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.4.0中新增或更新的定制属性。
| 名称 | 已优化 |
|---|---|
| 弹出帐户名称 | 是 |
| 终端标识 | 否 |
| 记录号 | 是 |
| 调用类型 | 是 |
| 编码文件目录 | 是 |
| 编码文件名 | 是 |
| 属性新值 | 否 |
| 认证包 | 是 |
| 目标服务器名称 | 否 |
| 已启动 | 是 |
| 登录过程 | 是 |
| 编码参数 | 是 |
| 访问权 | 是 |
| 作用域 | 否 |
| 机器标识 | 是 |
| 帐户安全标识 | 否 |
| 描述 | 否 |
| SAM 帐户名称 | 否 |
| 目标用户域 | 否 |
| 用户主体名称 | 否 |
| 目标帐户安全标识 | 否 |
| 用户权限 | 否 |
| 凭单加密类型 | 是 |
| 扩展错误代码 | 是 |
| IMP 散列 | 是 |
| 模拟级别 | 是 |
| 已终止的进程名称 | 是 |
| Taerget 文件目录 | 否 |
| 完整性级别 | 是 |
| 使用者目标 | 是 |
| 相对目标名称 | 否 |
| 调用跟踪 | 否 |
| 授予访问权 | 是 |
| 属性旧值 | 否 |
| 已签名 | 是 |
| 类型 | 否 |
| 文件许可权 | 是 |
IBM Security QRadar 定制属性字典 1.3.1
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.3.1中新增或更新的定制属性。
| 名称 | 已优化 |
|---|---|
| 进程标识 | 是 |
| URL | 是 |
IBM Security QRadar 定制属性字典 1.3.0
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.3.0中新增或更新的定制属性。
| 名称 | 已优化 |
|---|---|
| API 路径 | 否 |
| 体系结构 | 是 |
| 审计标识 | 是 |
| 认证类型 | 否 |
| 命令参数 | 是 |
| 连接方向 | 否 |
| DNS 请求域 | 否 |
| 有效组标识 | 否 |
| 有效用户标识 | 是 |
| 活动类型 | 否 |
| 结果标识 | 否 |
| 登录标识 | 是 |
| 模块名称 | 否 |
| 包类型 | 否 |
| 父文件目录 | 是 |
| 父文件扩展名 | 是 |
| 父文件名 | 是 |
| 父 MD5 | 否 |
| 父 SHA1 散列 | 否 |
| 父 SHA256 散列 | 否 |
| 响应代码 | 否 |
| 服务器响应时间 | 是 |
| 策略 | 否 |
| 方法 | 否 |
| 令牌提升类型 | 是 |
| 事务标识 | 否 |
在 IBM Security QRadar Custom Properties Dictionary 1.3.0中除去了以下定制属性。
- ACF2 规则键
- 允许的密码优先级顺序
- CICS 终端标识
- 休眠攻击计数
- 每秒结合的事件数 - 1 分钟平均值
- 每秒结合的事件数 - 1 秒峰值
- 每秒的原始事件数 - 1 分钟平均值
- 每秒的原始事件数 - 1 秒峰值
- FIPS 140 合规性
- 流源
- 每秒的流数 - 15 分钟平均值
- 每秒的流数 - 1 分钟峰值
- 身份上下文名称
- 身份上下文注册表
- JES 行
- JES 远程终端名
- 成员名
- NJE 节点名
- EPS 速率峰值
- 物理 DASD 盒序列号
- 上一个 CRE 名称
- 使用的 RACF 权限
- RACF 概要文件
- SNA 全局网络名
- SNA 终端名
- 系统 SMF 标识
IBM Security QRadar 定制属性字典 1.2.1
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.2.1中新增或更新的定制属性。
| 名称 | 已优化 |
|---|---|
| 应用程序类别 | 是 |
IBM Security QRadar 定制属性字典 1.2.0
将更新多个正则表达式标识,以避免与其他内容扩展发生冲突。
IBM Security QRadar 定制属性字典 1.1.0
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.1.0中的定制属性。
| 名称 | 已优化 |
|---|---|
| 耗用时间 | 否 |
| MD5 散列 | 是 |
| SHA1 散列 | 是 |
| SHA256 散列 | 是 |
IBM Security QRadar 定制属性字典 1.0.0
下表显示了 IBM Security QRadar Custom Properties Dictionary 1.0.0中的定制属性。
| 名称 | 已优化 |
|---|---|
| 允许的访问权 | 是 |
| 访问意向 | 是 |
| 访问掩码 | 是 |
| 帐户名称 | 是 |
| AccountDomain | 是 |
| AccountID | 否 |
| ACF2 规则键 | 是 |
| 操作 | 是 |
| 操作结果 | 否 |
| 警报 SQL 数据库名称 | 否 |
| 警报 SQL 用户名 | 否 |
| 警报类别 | 否 |
| 允许的密码优先级顺序 | 否 |
| 分析器 | 否 |
| 分析器主机名 | 否 |
| 分析器名称 | 否 |
| API 搜索标识 | 是 |
| 应用程序 | 是 |
| 应用程序类别 | 否 |
| 应用程序名称 | 是 |
| 应用程序类型 | 是 |
| 浏览器信息 | 否 |
| 绕过请求 | 否 |
| 字节数 | 否 |
| BytesReceived | 是 |
| BytesSent | 是 |
| ChangedAttributes | 否 |
| CICS 终端标识 | 是 |
| 命令 | 是 |
| 完成码 | 是 |
| 完成状态 | 是 |
| 内容类型 | 否 |
| CPU_Usage | 是 |
| CRE 描述 | 是 |
| CRE 名称 | 是 |
| 重要程度评级 | 否 |
| 当前 SQL 标识 | 是 |
| 数据集名称 | 是 |
| 数据库名称 | 是 |
| 数据库用户名 | 否 |
| DD 名称 | 是 |
| 部署标识 | 是 |
| 目标主机名 | 是 |
| 目标接口 | 是 |
| 目标区域 | 否 |
| 检测引擎 | 否 |
| 设备名 | 否 |
| 专有名称 | 否 |
| DNS 请求类型 | 否 |
| 域 | 否 |
| 休眠攻击计数 | 是 |
| 电子邮件主题 | 否 |
| 错误代码 | 是 |
| EventID | 是 |
| 每秒结合的事件数 - 1 分钟平均值 | 是 |
| 每秒结合的事件数 - 1 秒峰值 | 是 |
| 每秒的原始事件数 - 1 分钟平均值 | 是 |
| 每秒的原始事件数 - 1 秒峰值 | 是 |
| 执行状态 | 否 |
| 文件目录 | 是 |
| 文件扩展名 | 是 |
| 文件散列 | 是 |
| 文件标识 | 是 |
| 文件路径 | 否 |
| 文件大小 | 否 |
| 文件名 | 是 |
| FIPS 140 合规性 | 否 |
| 流源 | 是 |
| 每秒的流数 - 15 分钟平均值 | 是 |
| 每秒的流数 - 1 分钟峰值 | 是 |
| 功能代码 | 是 |
| “组”域 | 否 |
| 组名 | 是 |
| 组安全标识 | 否 |
| GroupID | 是 |
| 主目录 | 否 |
| 主机名 | 是 |
| 身份上下文名称 | 是 |
| 身份上下文注册表 | 是 |
| 发起方用户名 | 是 |
| InstanceID | 是 |
| IOC 名称 | 否 |
| IOC 值 | 否 |
| JES 行 | 是 |
| JES 远程终端名 | 是 |
| 作业名 | 是 |
| 作业号 | 是 |
| 作业标记 | 否 |
| 位置 | 否 |
| 日志字符串 | 是 |
| 登录风险评分 | 否 |
| 登录类型 | 是 |
| 机器标识 | 是 |
| 成员名 | 是 |
| 消息 | 否 |
| MessageID | 是 |
| 方法 | 否 |
| 名称 | 否 |
| 网络接口 | 否 |
| 网络安全组 | 否 |
| NJE 节点名 | 是 |
| 对象名称 | 否 |
| ObjectType | 是 |
| 旧数据集名称 | 是 |
| 操作标识 | 否 |
| 操作类型 | 否 |
| 始发主机 | 是 |
| 操作系统名称 | 否 |
| 操作系统补丁级别 | 否 |
| 操作系统供应商 | 否 |
| 操作系统版本 | 否 |
| 包 | 否 |
| 接收包数 | 否 |
| 发送包数 | 否 |
| 父代 | 是 |
| 父 GUID | 否 |
| 父散列 | 否 |
| 父 MD5 | 否 |
| 父路径 | 否 |
| 父进程 GUID | 否 |
| 父进程标识 | 否 |
| 父进程名称 | 是 |
| 父进程路径 | 是 |
| ParentCommndLine | 是 |
| EPS 速率峰值 | 否 |
| 物理 DASD 盒序列号 | 是 |
| PipeName | 是 |
| 策略类别 | 否 |
| 策略分类 | 否 |
| 策略标识 | 否 |
| 策略名称 | 是 |
| 策略违例标识 | 否 |
| 入口端口 | 是 |
| 上一个 CRE 名称 | 是 |
| 优先级 | 否 |
| 过程方向 | 否 |
| 进程 GUID | 否 |
| 进程标识 | 否 |
| 进程名称 | 是 |
| 进程路径 | 是 |
| PS 编码命令 | 是 |
| 使用的 RACF 权限 | 是 |
| RACF 概要文件 | 是 |
| 收件人主机 | 是 |
| 收件人用户 | 是 |
| URL | 否 |
| 区域 | 是 |
| 注册表键 | 是 |
| 注册表值数据 | 是 |
| 注册表值名称 | 是 |
| 报告者 | 否 |
| 资源敏感度 | 是 |
| 保留期 | 否 |
| 角色名 | 是 |
| 规则操作 | 否 |
| 规则标识 | 否 |
| 规则名 | 是 |
| RunLevel | 是 |
| 已执行搜索 | 是 |
| 发件人 | 是 |
| 敏感组 | 是 |
| 敏感用户特权 | 是 |
| 服务名称 | 是 |
| ServiceFileName | 是 |
| 会话标识 | 否 |
| 共享名称 | 是 |
| SharePath | 否 |
| 壳牌公司 | 否 |
| SNA 全局网络名 | 是 |
| SNA 终端名 | 是 |
| 源主机名 | 是 |
| 源接口 | 否 |
| SourceImage | 是 |
| SQL 命令 | 否 |
| StartAddress | 是 |
| StartFunction | 是 |
| StartModule | 是 |
| 状态 | 是 |
| 步骤名 | 是 |
| 存储器名称 | 是 |
| 主体 | 是 |
| 提交者 | 是 |
| 订户 | 否 |
| 预订标识 | 否 |
| 子系统名 | 是 |
| 系统 SMF 标识 | 是 |
| 系统状态 | 是 |
| 目标帐户安全标识 | 否 |
| 目标计算机域 | 否 |
| 目标计算机名称 | 否 |
| 目标映像名称 | 是 |
| 目标用户名 | 是 |
| TargetImage | 否 |
| TaskName | 否 |
| 威胁类别 | 否 |
| 威胁系列 | 否 |
| 威胁标识 | 否 |
| 威胁名称 | 是 |
| 威胁评分 | 否 |
| 威胁严重性 | 否 |
| 威胁类型 | 否 |
| TLS 客户机证书 | 否 |
| TLS 加密系列 | 否 |
| TLS 加密密钥长度 | 否 |
| TLS 密钥交换方法 | 否 |
| TLS 消息摘要 | 否 |
| TLS 或 SSL 协议级别 | 否 |
| TLS RFC 级别 | 否 |
| 事务名 | 是 |
| UNIX 访问源 | 是 |
| UNIX 功能 | 是 |
| URL | 是 |
| URL 路径 | 否 |
| URL | 否 |
| URL 方案 | 否 |
| UrlHost | 是 |
| 用户代理 | 否 |
| 用户认证 | 否 |
| 用户域 | 否 |
| 用户标识 | 是 |
| UserType | 是 |
| 卷序列号 | 是 |
| 关注列表名称 | 否 |
| Watchlists | 否 |
| Web 类别 | 是 |