Microsoft IIS

使用 IBM 安全 QRadar Microsoft IIS 内容扩展密切监控您的 Microsoft IIS 部署。

重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。

IBM Security QRadar Microsoft IIS 内容扩展

IBM Security QRadar Microsoft IIS 内容扩展 1.0.2

下表显示了在 IBM 安全 QRadar Microsoft IIS内容扩展 1.0.2 中更新的自定义属性。

表 1. IBM QRadar Microsoft IIS 内容扩展 1.0.2 中的自定义属性
旧物业名称 新物业名称
BytesSent 已发送的字节数
BytesReceived 已接收的字节数
URL URL 引用
UrlHost URL 主持人
始发主机 发送方主机

IBM Security QRadar Microsoft IIS 内容扩展 1.0.1

下表显示了 IBM Security QRadar Microsoft IIS Content Extension 1.0.1中的定制属性。

表 2. IBM 安全性 QRadar Microsoft IIS 内容扩展 1.0.1 中的定制属性
名称 已优化 捕获组 正则表达式
URL 1 [\s \t] ([^ \s \t] +) [\s \t] ([^ \s \t] +) [\s \t] (\d + [\s \t]){6}(?:-| \d{1,3}。)

cs \ (Referer\) [= \s \t] ([^ \s \t] +)
响应代码 1 [\s \t] (\d +) [\s \t] \d + [\s \t]

sc-status [= \s \t] (\d +)
URL 主机 1 cs-host [= \s \t] ([^ \s \t] +) \/

ClientId. * \s + (?:-| \d{1,3}\/) \s + ([^ \s \t] +) \/

IBM Security QRadar Microsoft IIS 内容扩展 1.0.0

下表显示了 IBM Security QRadar Microsoft IIS Content Extension 1.0.0中的定制属性。

表 3. IBM 安全性 QRadar Microsoft IIS 内容扩展 1.0.0 中的定制属性
名称 已优化 捕获组 正则表达式
BytesReceived 1 [\s \t] (\d +) [\s \t] \d + [\s \t] \d + [\s \t] (?:-| \d{1,3}\.)

sc-bytes [= \s \t] (\d +)
BytesSent 1 cs-bytes [= \s \t] (\d +)

[\s \t] (\d +) [\s \t] \d + [\s \t] (?:-| \d{1,3}\.)
耗用时间 2

1

 [\s \t] (\d +) [\s \t] (\d +) [\s \t] (?:-| \d{1,3}\.)

所花费的时间 [= \s \t] (\d +)
方法 1 (GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) [\s \t]

cs-method [= \s \t] ([^ \s \t] +)
始发主机 1 X-转发-对于 [= \s \t] ([^ = \s \t] +)

[\s \t] (\d +) [\s \t] \d + [\s \t] (-| (?:\d{1,3}\.){3}\d{1,3})
URL 1 [\s \t] ([^ \s \t] +) [\s \t] ([^ \s \t] +) [\s \t] (\d + [\s \t]){6}(?:-| \d{1,3}。)

cs \ (Referer\) [= \s \t] ([^ \s \t] +)
URL 路径 2 (GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) [\s \t] ([^ \s \t] +)

cs-uri-stem [= \s \t] ([^ \s \t] +)
URL 2 cs-uri-query [= \s \t] ([^ \s \t] +)

(GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) [\s \t] ([^ \s \t] +) [\s \t] ([^ \s \t] +)
URL 主机 1 cs-host [= \s \t] ([^ \s \t] +)

[\s \t] ([^ \s \t] +) [\s \t] (\d + [\s \t]){6}(?:-| \d{1,3}\.)
用户代理 2 (GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE). *? \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}[\s \t] \S + [\s \t] ([^ \s \t] +)

cs \ (User-Agent\) [= \s \t] ([^ \s \t] +)