Linux

IBM 安全 QRadar Linux® 内容扩展为 Linux 添加了新的自定义事件属性。

重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar Linux 内容扩展

Linux 1.1.3 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.1.3 内容扩展中的新定制属性。

表 1. Linux 1.1.3 内容扩展中的新定制属性
名称 已优化 捕获组 正则表达式
文件扩展名 1 item = \d + name=" (?: [^ \"] + \/) * .. * ?\. ([^ \.] *? (?:\. [^ \.] *?){0,1}) "
表 2. Linux 1.1.3 内容扩展中的新属性名称
旧属性名 新建属性名称
GroupID 组标识
机器标识 机器标识
进程命令行 命令
进程标识 进程标识
UrlHost URL 主机

Linux 1.1.2 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.1.2 内容扩展中的新定制属性。

表 3. Linux 1.1.2 内容扩展中的新定制属性
名称 已优化 捕获组 正则表达式
类型 1 type=([^\s]*)
主题帐户名称 1 Account Name:\s+(.*?)\s+Account Domain:

Linux 1.1.1 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.1.1 内容扩展中更新的定制属性。

表 4。 Linux 1.1.1 内容扩展中的定制属性
名称 已优化 捕获组 正则表达式
文件目录 1 name=" (. *?) \/ "
进程标识 1

\bpid = (\d +)

\bpid = (\d +)

\ [(\d +) \] \:\s

\bpid = (\d +)

pid = (\d +)

pid = (\d +)

已更新 文件目录 属性的描述。

更新了 Filename 的表达式标识,以防止其他内容包出现问题。

Linux 1.1.0 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.1.0 内容扩展中的定制属性。

表 5。 Linux 1.1.0 内容扩展中的定制属性
名称 已优化 捕获组 正则表达式
体系结构 1 arch = ([0-9a-fA-F] +)
审计标识 1 auid = (\d +)
调用类型 1 syscall = (\d +)
命令 1 crontab \ [\d + \]: \s + \(. * ?\) \s + ([^ \s] +)
命令参数 1 argc= \d + ((a\d + =" [^ ";] +?"?) +)
编码文件目录 1 item = \d + name = ((?: [A-F0-9]{2}) * (?=2F(?: [A-F0-9]{2}) * \s))

item = \d + name = ([A-F0-9] +)
编码文件名 1 item = \d + name = (?: (?: [A-F0-9]{2})+2F) * ([A-F0-9] +)
错误代码 1 exit = ([^ \s] +)
文件目录 1 item = \d + name = \ " ([^ \s \"] +) (?= \/)

exe = \ " ([\/ \w] +) (?= \/)

cwd=" (. *?) "

name="(. *?) " \s
文件扩展名 1 item = \d + name=" (?: [^ \"] + \/) *. * ?\. ([^ \.] *? (?:\. [^ \.] *?){0,1}) "
文件许可权 1 方式 = (\d +)
文件名 1 exe = \ ". *? \/ ([^ \/] *?) \"

item = \d + name=" (?: [^ \"] + \/) * ([^ \"] +) "
组名 1 组 = ([^ ,] +)
主目录 1 PWD = (. *?) \;
机器标识 1 ^ (?:\S + \s +){3}(\S +)

\bnode = ([^ \s] +)
父进程标识 1 ppid = (\d +)
进程命令行 1 CMD ((. *?))

命令 = (. *)
进程标识 1 pid = (\d +)

\bpid = (\d +)
进程名称 1 comm=" (\w +) "
记录号 1 msg=audit\(. *?: (\d +) \)
终端标识 1 tty=pts (\d +)
UrlHost 1 (?: (? :http|ftp|tcp|ssl|https): \/\/) (. *?) (?=$| \s | \\ | \" | \/ | \: | \|)
IBM Security QRadar Linux 1.1.0 内容扩展中除去了以下客户属性:
  • 计算机名称
  • 进程目录

(返回到顶部)

Linux 1.0.1 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.0.1 内容扩展中的定制属性。

表 6。 Linux 1.0.1 内容扩展中的定制属性
名称 已优化 捕获组 正则表达式
计算机名称 1 \bnode = ([^ \s] +)
文件目录 1

exe = \ " ([\/ \w] +) (?= \/)

PWD = ([\/ \w] +) (?= \/)

脚本 = ([\/ \w] +) (?= \/)

item = \d + name=" ([^ \"] *) \/ [^ \\] +? "
文件名 1

exe = \ ". *? \/ ([^ \/] *?) \"

PWD=. * \/ ([^ \/] *?);

script =. * \/ ([^ ,] *) , \saccount

item = \d + name=" [^ \"] + \/ ([^ \"] +) "
组标识 1

(?i) gid = (\d +)

uid \/euid \/gid \/egid\s = \s\d + \ /\d + \/(\d +)
进程命令行 1 ocomm=" ([^ \"] +)
进程标识 1 \bpid = (\d +)
进程名称 1

exe=". * \/ ([^ "] +)"

START \:\s ([^ \s] +)

EXIT: \s ([^ \s] +)

exe = \ "[^ \"] + \/ ([^"] +)
进程路径 1 exe=" ([^ "] +)"
用户标识 1 (?i) uid = (\d +)

(返回到顶部)

Linux 1.0.0 内容扩展中的定制属性

下表显示了 IBM Security QRadar Linux 1.0.0 内容扩展中的定制属性。

表 7。 Linux 1.0.0 内容扩展中的定制属性
名称 已优化 捕获组 正则表达式
应用程序 1 (\w +) \ [\d + \] \:\s
命令 1 COMMAND = ([^ \s] +)

正在运行 \s ([^ \s] +) \scommand
计算机名称 1 节点 = ([^ \s] +)
有效组标识 1 uid \/euid \/gid \/egid\s = \s\d + \ /\d + \ /\d + \/(\d +)
有效用户标识 1 euid = (\d +)

uid \/euid \/gid \/egid\s = \s\d + \/(\d +)
文件目录

1

1

exe = \ " ([\/ \w] +) (?= \/)

PWD = ([\/ \w] +) (?= \/)

脚本 = ([\/ \w] +) (?= \/)
文件名

1

1

exe = \ ". *? \/ ([^ \/] *?) \"

PWD=. * \/ ([^ \/] *?);

script =. * \/ ([^ ,] *) , \saccount
组名 1

组 = ([^ ,] +)
GroupID 1

gid = (\d +)

uid \/euid \/gid \/egid\s = \s\d + \ /\d + \/(\d +)
主目录 1

home = ([^ ,] +)
过程方向 1

方向 = ([^ \s] +)
进程标识 1

pid = (\d +)

\ [(\d +) \] \:\s
进程名称 1

exe=". * \/ ([^ "] +)"

START \:\s ([^ \s] +)

EXIT: \s ([^ \s] +)
壳牌公司 1 shell = ([^ ,] +)
用户标识 1

uid \/euid \/gid \/egid\s = \s (\d +) \/

uid = (\d +)

(返回到顶部)