Kubernetes

使用 IBM 安全性 QRadar 自定义属性 Kubernetes 来密切监控您的 Kubernetes 部署。

重要信息: 为了避免此内容扩展中的内容错误，请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。如果未启用自动更新，请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar Kubernetes

下表显示了 IBM Security QRadar Custom Properties for Kubernetes V1.0.2中新增或更新的定制属性。

表 1. IBM 安全性 QRadar Kubernetes 的定制属性 V1.0.2 中新增或更新的定制属性
名称	已优化	捕获组	表达式
容器映像	是		JSON /"requestObject"/"spec"/"containers"[0]/"image"

下表显示了 IBM Security QRadar Custom Properties for Kubernetes V1.0.1中新增或更新的定制属性。

表 2. IBM 安全性 QRadar Kubernetes 的定制属性 V1.0.1 中新增或更新的定制属性
名称	已优化	捕获组	表达式
名称空间	是	1	objectRef[\":{]resource[":]+namespaces[\":]+,[\"]+name":"(.*?)"
特权容器	是	1	securityContext[\":\{]privileged[":](true)
特权容器名称	否	1	securityContext[\":{]+privileged[":]+true}+,[\":\{]+name":"(.*?)"
源安装点	是	1	volumeMounts"\:[{.*?\"mountPath[\":]([^\"])

下表显示了 IBM Security QRadar Kubernetes V1.0.0的定制属性。

表 3. IBM Security QRadar Kubernetes V1.0.0
名称	已优化	正则表达式捕获组	表达式
API 路径	否		JSON /"requestURI"
容器映像	否		JSON /"requestObject"/"spec"/"containers"[0]/"image"
容器名称	否		JSON /"requestObject"/"spec"/"containers"[0]/"name"
MessageID	否		JSON /"auditID"
名称空间	是		JSON /"objectRef"/"namespace"
特权容器	是	1	正则表达式 \\"containers\\":.*?\\"securityContext\\":\{\\"privileged\\":(true)
特权容器名称	否	1	正则表达式 \\"containers\\":.\\"name\\":\\"(.?)\\",\\"securityContext\\":\{\\"privileged\\":true
进程命令行	是		正则表达式命令 = (. *?) 容器 =
原因	是		JSON /"responseStatus"/"reason"
资源	是		JSON /"objectRef"/"resource"
资源名称	是		JSON /"objectRef"/"name"
角色	是		JSON /"requestObject"/"roleRef"/"name"
角色操作	是		JSON /"requestObject"/"rules"[0]/"verbs"[]
角色分配的资源	是		JSON /"requestObject"/"rules"[0]/"resources"[]
目标用户名	是	1	正则表达式 "subject" \:\ [\{. * ?\" name \" \: \" ([^ \"] +) \"
用户代理	否		JSON /"userAgent"