强制点
使用 Forcepoint 内容扩展的 IBM 安全 QRadar 自定义属性密切监控您的 Forcepoint 部署。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar Forcepoint Content Extension 的定制属性 1.0.0
下表显示了 IBM Security QRadar Forcepoint Content Extension 的定制属性 1.0.0中的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 警报严重性 | 否 | 1 | 严重性 = ([^ |] +) |
| BytesReceived | 是 | 1 | dstBytes=([^\t]+) |
| BytesSent | 是 | 1 | srcBytes=([^\t]+) |
| 类别编号 | 否 | 1 | cat = ([^ \t] +) |
| 通道 | 是 | 1 | 通道 = ([^ |] +) |
| 内容类型 | 否 | 1 | contentType=([^\t]+) |
| 风险目标 | 否 | 1 | 目标 = ([^ |] +) |
| 配置 | 否 | 1 | 处置 = ([^ \t] +) |
| 事件详细信息 | 否 | 1 | detaills = ([^ |] +) |
| 日志记录源 | 否 | 1 | logRecordSource=([^\t]+) |
| 登录标识 | 否 | 1 | loginID=([^\t]+) |
| 方法 | 否 | 1 | 方法 = ([^ \t] +) |
| 策略名称 | 是 | 1 | 策略 = ([^ \t] +) 策略 = ([^ |] +) |
| 代理状态码 | 否 | 1 | proxyStatus-code=([^\t]+) |
| 原因 | 是 | 1 | 原因 = ([^ \t] +) |
| 角色 | 是 | 1 | role = ([^ \t] +) |
| 服务器状态码 | 否 | 1 | serverStatus-code=([^\t]+) |
| 风险源 | 否 | 1 | source = ([^ |] +) |
| URL | 是 | 1 | url = ([^ \s] +) |