Microsoft Windows

使用 IBM 安全性 QRadar Microsoft Windows 内容扩展的自定义属性,通过规范化日志源中的特定事件数据来扩展 QRadar 搜索和报告。 您还可以使重要数据在规则,搜索和报告中更清晰可见。

Windows 属性内容扩展仅支持解析 WinCollect 制表分隔的事件格式。

警告QRadar 同时接收 WinCollect 制表符分隔和 XML 格式的事件,并计划添加 XML 数据解析时,请执行以下操作:
  • 使用正则表达式(regex)解析 XML 格式的事件。
  • 避免在同一属性中混合使用 regex 和 XML 表达式,因为这样做会降低解析性能并导致不可预测的行为。

要获取 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 所基于的事件标识和名称的列表,请参阅 此处

注意:Cisco AMP V.1.0.0 中存在 " 父文件名 "自定义属性时,不会安装此内容扩展。 在安装此内容扩展之前,请删除父文件名
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central ( https://www.ibm.com/support/fixcentral )。

IBM Security QRadar Microsoft Windows Content Extension 的定制属性

IBM 安全 QRadar 内容扩展的自定义属性 Microsoft Windows 1.2.9

以下文件扩展名属性的正则表达式已更新:

正则表达式表达式标识 正则表达式
028e41cb-74f7-41d3-b5bd-378c5a1fb01d TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Hashes
27b28d8b-2876-4e1d-8126-4b643dfe6881 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
29f5ac46-341e-49b6-8fc3-513b0cc26c23 ImageLoaded:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+FileVersion
32ac2a10-1a1b-4f40-8296-9275ce9627e0 Relative Target Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
793f755e-dc59-466c-bf41-67d9715b9be2 Relative Target Name:\s+[^\\]+(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
9662fc2c-61e5-48cf-9d00-412d7534a0c8 TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
ac769579-8e07-4755-aab0-0bc6489c7325 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
aec96349-bf39-40a6-b549-373a835f7fbd file:\/\/\\?(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\sowned\sby
d9f7021c-7b5f-46ff-8bdf-c7d277052955 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle

适用于 Microsoft Windows 内容扩展 1.2.8 的 IBM Security QRadar 自定义属性

下表显示了适用于 Microsoft Windows Content Extension 1.2.8 的 IBM Security QRadar 自定义属性。

表 1. IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.8 中的新增和更新的自定义事件属性表达式
旧物业名称 新物业名称
EventID 事件标识
ObjectType 对象类型
GroupID 组标识
ObjectName 对象名称
计算机名称 机器标识
目标用户名 目标 用户名
用户工作站 机器标识
进程命令行 命令
TaskName 任务名称
SharePath 共享路径
发起方用户名 发起人 用户名
机器标识 机器标识
进程标识 进程标识
流程指南 流程指南
父进程 GUID 父进程GUID
UrlHost URL 主持人
图像 进程路径
StartAddress 开始地址
PipeName 管道名称
目标主机名 目的地主机名
ServiceFileName 服务 文件名
ParentCommandLine 父命令

IBM 安全性 QRadar Microsoft Windows 内容扩展 1.2.7 的自定义属性

Key Length 自定义属性是 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.7 的新特性。 此自定义属性设置从 DSM 有效负载中自定义提取密钥长度的默认值。

表 2. IBM 安全 QRadar Microsoft Windows 内容扩展 1.2.7 中新增和更新的自定义事件属性表达式
姓名 新增或更新 捕获组 正则表达式 描述
引擎版本 新建 1 .*\bEngineVersion=([\.0-9]*)\b.* 新的自定义事件属性。
主机版本 新建 1 .*\bHostVersion=([\.0-9]*)\b.* 新的自定义事件属性。
SID 历史 新建 1 .*\s+SID History:\s+(S-\S+)\b.* 新的自定义事件属性。
授权 新建 1 AllowedToDelegateTo:\s*(.*\S)\s+Old UAC Value: 新的自定义事件属性。
LDAP 显示名称 新建 1 LDAP Display Name:\s*(.*\S)\s+Syntax \(OID\): 新的自定义事件属性。
对象类 新建 1 Object.*Class:\s*(\S*) 新的自定义事件属性。
注册表键 更新时间 1 TargetObject:\s+(.*?)\\[^\\]+(?:\s+[^:]+|$) 更新了正则表达式。
注册表值名称 更新时间 1 TargetObject:\s+.*?\\([^\\]+?)(?:\s+[^:]+|$) 更新了正则表达式。
注册表值数据 更新时间 1 Details:\s+(.*?)(?:\s+User:\s+|$ 更新了正则表达式。
管道名称 更新时间    

类别更改为 any / any

将属性名称从 PipeName 更改为 Pipe Name
密钥长度 更新时间     类型从字母数字改为数字。
事件标识 更新时间     将属性名称从 EventID 更改为 Event ID
对象类型 更新时间     将属性名称从 ObjectType 更改为 Object Type
组标识 更新时间     将属性名称从 GroupID 更改为 Group ID
项目名称 更新时间     将属性名称从 ObjectName 更改为 Object Name
目标用户名 更新时间     将属性名称从 Target User Name 更改为 Target Username
命令 更新时间     将属性名称从 Process CommandLine 更改为 Command
任务名称 更新时间     将属性名称从 TaskName 更改为 Task Name
共享路径 更新时间     将属性名称从 SharePath 更改为 Share Path
启动器用户名 更新时间     将属性名称从 启动程序用户名更改为 启动程序用户名
机器标识 更新时间    

将属性名称从 Machine ID 更改为 Machine Identifier

将属性名称从 Computer Name 更改为 Machine Identifier

将属性名称从 User Workstations 更改为 Machine Identifier
进程标识 更新时间     将属性名称从 进程 ID 更改为 进程 ID
进程 GUID 更新时间     将属性名称从 Process Guid 更改为 Process GUID
父进程 GUID 更新时间     将属性名称从 Parent Process Guid 更改为 Parent Process GUID
URL 主机 更新时间     将属性名称从 UrlHost 改为 URL
进程路径 更新时间     将属性名称从 Image 更改为 Process Path
开始地址 更新时间     将属性名称从 StartAddress 更改为 Start Address
目的地主机名 更新时间     将属性名称从 Destination Host Name 更改为 Destination Hostname
服务文件名 更新时间     将属性名称从 ServiceFileName 更改为 Service Filename
父命令 更新时间     将属性名称从 ParentCommandLine 更改为 Parent Command

IBM 安全性 QRadar Microsoft Windows 内容扩展 1.2.6 的自定义属性

Key Length 自定义属性是 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.6 的新特性。 此自定义属性设置从 DSM 有效负载中自定义提取密钥长度的默认值。

表 3. IBM 安全 QRadar Microsoft Windows 内容扩展 1.2.6 中的新自定义事件属性表达式
姓名 自定义属性 ID 捕获组 正则表达式
密钥长度 c732c6c4-3e1d-4116-88c5-b2df0782f711 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.5

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.5中更新的正则表达式。

表 4。 更新了 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.5 中的正则表达式
姓名 正则表达式表达式标识 已优化 捕获组 正则表达式
文件 aec96349-bf39-40a6-b549-373a835f7fbd 1 file:.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\sowned\sby
已装入图像 29f5ac46-341e-49b6-8fc3-513b0cc26c23 1 ImageLoaded:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
对象名称 27b28d8b-2876-4e1d-8126-4b643dfe6881 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
ac769579-8e07-4755-aab0-0bc6489c7325 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
d9f7021c-7b5f-46ff-8bdf-c7d277052955 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 1 Object Name:\s+.*?\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
相对目标名称 32ac2a10-1a1b-4f40-8296-9275ce9627e0 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
793f755e-dc59-466c-bf41-67d9715b9be2 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
目标文件名 028e41cb-74f7-41d3-b5bd-378c5a1fb01d 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
9662fc2c-61e5-48cf-9d00-412d7534a0c8 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b 1 TargetFilename:\s+.*?\.([^\\]*?)\s+Hashes

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.4

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.4中新增的定制事件属性。

表 5。 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.4 中的 "新建定制事件属性"
姓名 已优化 捕获组 正则表达式
使用者目标 1 Destination:\s+"(.*?)"$
相对目标名称 1 Relative Target Name[:\s\\=]*\s+([^&]*?)\s+Access

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.4中具有新表达式的定制事件属性。

表 6。 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.4 中包含新表达式的定制事件属性
姓名 已优化 捕获组 正则表达式
进程名称 1 SourceImage\:\s(?:.*\\)?([\w\.\-\d]+)\sTargetProcessG
进程路径 1 SourceImage\:\s+(.*?)\s+TargetProcessGUID

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.3

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.3中新增的定制事件属性。

表 7。 IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.3
姓名 已优化 捕获组 正则表达式
属性新值 1 Value: ([^\s]*?)(?:\s|$)
认证包 1 Authentication Package:\s+(.*?)\s+Transited
已启动 1 Initiated:\s+(.*?)\s+SourceIsIpv6
登录过程 1 Logon Process:\s+(.*?)\s+Authentication
目标服务器名称 1 Target Server Name:\s(.*?)\sAdditional

下表显示了在 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.3中更新的定制事件属性。

表 8。 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.3 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
PipeName 1 PipeName\:\s(.*)\sImage

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.2

进程 CommandLine 定制属性接收到更新以除去重复的正则表达式。

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.1

下表显示了在 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.1中具有新表达式的定制事件属性。

表 9。 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.1 中的新定制事件属性表达式
姓名 已优化 捕获组 正则表达式
用户域 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.2.0

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.0中新增或更新的定制事件属性。

表 10. IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.0 中新增和更新的定制事件属性
姓名 已优化 捕获组 正则表达式
文件扩展名 1 ImageLoaded:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
文件名 1 ImageLoaded:\s+.*?([^\\]*?)\s+FileVersion
完整性级别 1 IntegrityLevel:\s(\w+)
ParentCommandLine 1 ParentCommandLine:\s(.*)
进程标识 1 ProcessId:\s+(\d+)
进程名称 1

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Image:.*?\\([^\\]*?)\sTargetFilename

Image:.*?\\([^\\]*?)\s(?:FileVersion|CommandLine):
已签名 1 Signed:\s(true|false)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.8

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.8中新增的定制事件属性。

表 11. IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.8 中的 "新建定制事件属性"
姓名 已优化 捕获组 正则表达式
编码参数 1

(?i)Process Command Line[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*Token Elevation Type

(?i)CommandLine:\spowershell[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*CurrentDirectory

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.7

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.7中新增或更新的定制事件属性。

表 12. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.7 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
服务名称 1 (?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)
ServiceFileName 1 (?i)Service\sFile\sName\:\s*(.*)\sService\sType

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.6

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.6中新增或更新的定制事件属性。

表 13. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.6 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
进程名称 1

Image:.*\\(.*?)\sTargetFilename
已终止的进程名称 1

Process Command Line[:\s\\=]+taskkill\s+\/im\s(.*?)\s\/f

Process Command Line[:\s\\=]+(?:net|net1)\s+stop\s(.*?)\s\/y
目标文件目录 1 cs-bytes[=\s\t](\d+)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.5

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.5中新增或更新的定制事件属性。

表 14. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.5 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
目标主机名 1 DestinationHostname:\s+(.+?)\s+
EventID 1

\d{2}\s\d{2}[:\s]\d{2}[:\s]\d{2}\s+\d{4}\s+(\d+)

^<\d+>[a-zA-Z]{3}[\s]\d{2}[\s]\d{2}:\d{2}:\d{2}[\s][a-zA-Z0-9\.]+[\s]LEEF:[0-9\.a-zA-Z\|]+\|(\d+)
文件名 1 TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime
进程 GUID 1 ProcessGuid: \{(.*?)\}
进程标识 1 ProcessId:\s+(\d+)
进程名称 1

Image:\s+.*\\(.*)

Image:.*\\(.*?)\sTargetFilename
目标文件目录 1 TargetFilename:\s+(.*?)\s+CreationUtcTime:

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.4

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.4中新增或更新的定制事件属性。

表 15. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.4 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
PipeName 1 PipeName\:\s\\(.*)\sImage

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.3

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.3中新增或更新的定制事件属性。

表 16. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.3 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
MD5 散列 1

MD5=([^\,]+)

MD5=(\w+)
进程命令行 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type)
进程名称 1 Process Name[:\s\\=]+(?:.*\\)?(.*?)\s+(?:Network Information|\s|&&)
SHA1 散列 1 SHA1=(\w+)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.2

已更新所有文件扩展名正则表达式值以考虑隐藏的可执行文件扩展名和排除文件版本控制。

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.2中新增或更新的定制事件属性。

表 17. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.2 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
文件目录 1

ImageLoaded:\s+(.*)\\.*?\s+FileVersion

TargetFilename:\s+(.*)\\.*?\s+
文件扩展名 1

OriginalFileName:\s+.*?\.(?![0-9]{1,2}\.)(.*?)\s+Hashes

TargetFilename:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Hashes
文件名 1 TargetFilename:\s?.*\\(.*?)\s+Hashes
IMP 散列 1 IMPHASH=(\S+)
MD5 散列 1 MD5=([^\,]+)
ObjectType 1 Object Type[:\s\\=]*([^\s&amp;]*)
进程名称 1

Image:.*\\(.*?)\sTargetFilename

Image:\s+.*\\(.*?)\s
SHA1 散列 1 SHA1=(\w+)
SHA256 散列 1 SHA256=([^\,]+)
开始地址 1 StartAddress:\s(.*?)\s

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.1

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.1中新增或更新的定制事件属性。

表 18. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.1 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
记录号 1 RecordNumber=(\d*)

(返回页首)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.1.0

下表显示了在 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.1.0中更新的定制事件属性。

表 19. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.1.0 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
文件目录 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)

TargetFilename:\s+(.*)\\.*?\s+
文件扩展名 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+CreationUtcTime
文件名 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime
主机名 1 Host Name = ([^\s]+)
Image 1

Image:\s*(.+?)\s+FileVersion:

Image: (.*?)\s+ImageLoaded

Image:\s*(.+?)\s+TargetFilename:
IMP 散列 1

IMPHASH=([^\,]+)

IMPHASH=(\w+)
机器标识 1 Computer=([^\s]+)
MD5 散列 1

MD5=([^\,]+)

MD5=(\w+)
消息 1 subject(?:[^,]*?,){11}([^,]*?)\,
父进程 GUID 1 ParentProcessGuid: \{(.*?)\}
父进程标识 1 ParentProcessId:\s+(\d+)
父进程名称 1 ParentImage:\s?.*\\([^\s]+)\sParentCommandLine
父进程路径 1 ParentImage:\s*(.+?)\s+ParentCommandLine:
进程命令行 1

CommandLine:\s*(.+?)\s+CurrentDirectory

Scriptblock text.*?:\s+(.*?)\s+ScriptBlock ID
进程标识 1 ProcessId:\s+(\d+)
进程名称 1

CommandLine:\s+"[^\" ]*\\([^\"]+)"\s+Current

Image:\s+.*?\\([^\\]*?)\s+.*$

Image:.*\\(.*?)\sFileVersion

Image:.*\\(.*?)\s+ImageLoaded

Image:.*\\(.*?)\sTargetObject

Image:.*\\(.*?)\sUser

Process Name: \s?.*\\([^\s]+)
进程路径 1

Image:\s+(.*)

Image:\s+(.*?)\s+FileVersion:
注册表键 1 TargetObject:\s+(.*)\\.*\s+Details:
注册表值数据 1 Details:\s+(.*)
规则名 1 RuleName[:\s\\=]+([^\s&]+)\s+EventType
SHA256 散列 1

SHA256=(\w+)

SHA256=([^\,]+)
目标用户名 1 Account Name:\s+.*?Account Name:\s+([^\s]*)
令牌提升类型 1 Token Elevation Type: (%%\d{4})
UrlHost 1

(?:(?:http|ftp|tcp|ssl|https):\/\/)(.*?)(?=$|\s|\\|\"|\/|\:|\|)

QueryName:\s(.*)\sQueryStatus

(返回页首)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.0.5

下表显示了在 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.0.5中更新的定制事件属性。

表 20. 已在 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.0.5 中更新定制事件属性
姓名 已优化 捕获组 正则表达式
GroupID 1 Group ID[:\s\\=]*(\d+)
父进程名称

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line
父进程路径

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:

(返回页首)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.0.4

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.0.4中新增或更新的定制事件属性。

表 21. IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.0.4 中的新增或更新的定制事件属性
姓名 已优化 捕获组 正则表达式
访问掩码 1

Access Mask[:\s\\=]*\s+(0[^\s&]+)

注: 缺省情况下,此正则表达式的 System.Information 表达式处于禁用状态,因为它可能会返回许多事件匹配项并影响性能。
访问权

1

1

Accesses[:\s\\=]*(.*?)\s+(?:Access (?:Check Results|Mask|Reasons)|Properties|Privileges|&&|$)

Operation Type[:\s\\=]*(.*?)(?:\s+Process Information|&&)

注: 缺省情况下,此正则表达式的 System.Information 表达式处于禁用状态,因为它可能会返回许多事件匹配项并影响性能。
帐户安全标识

1

1

User ID[:\s\\=]*(.*?)\s+(?:Service\s|&&)

Subject:\s+?Security ID:\s+(.*?)\s+(?:Subject:|Account Name)

注: 缺省情况下, Subject:\s+ ... 正则表达式处于禁用状态,因为它可能会返回许多事件匹配项并影响性能。
计算机名称

1

1

1

1

1

Workstation Name[:\s\\=]+([^\s&]+)\s+Source

Source Workstation[:\s\\=]+([^\s&]+)\s+Error

Caller Computer Name[:\s\\=]+([^\s&]+)(?:\s\s|$)

from the computer ([^\s]+)
错误代码

1

1

1

1

1

1

Error Code[:\\\s=]*([^\s&]+)

error status[:\\\s=]+([^\s&\.]+)

Result Code[:\\\s=]*([^\s&]+)

Error value[:\\\s=]+([^\s:&]+)

Failure Code[:\\\s=]*([^\s&]+)

Status[:\\\s=]*([^\s&]+)
EventID

1

1

1

(?:EventID|EventIDCode|externalId)[:\s\\=]+(\d+)

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

LEEF: [0-9\.] + \ | Microsoft\ | Windows\|. + \ | (\d +) \ |
扩展错误代码 1 Sub[\s,_]*Status[:\\\s=]+([^\s&]+)
文件名

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

Relative Target Name:\s.*\\(.*?)\s+Access Request Information:

file:.*\\(.*?)\sowned\sby
文件目录 1

file:(.*?)\\[^\\]*?\s+owned\sby

Relative Target Name:\s+(.*)\\.*?\s+Access Request Information:

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)
文件扩展名

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\.*?\.([^\\\.]*?)\s+(?:Handle ID|&&)

Relative Target Name[:\s]*.*\\[^\.]*?\.(.*?)\s+Access Request Information:

file:.*\\.*?\.(.*?)\sowned\sby
文件路径 1

file:(.*?)\sowned\sby

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\\=]+(.*?)\s+(?:Handle ID| &&)

Relative Target Name:\s+(.*?)\s+Access Request Information:
“组”域

1

1

1

(?:Group Domain|Target Domain)[:=\s\\]+([^\s]+)

Group[\s\:]+.*?Account Domain[\s\:\\=]+([^\s]+)

(?:Group Domain|New Domain)[:=\s\\]+([^\s]+)
组名

1

1

1

(?:Group Name|New Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|New Domain|Group:|&&)

(?:Group Name|Target Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|Target Domain|Group:|&&)

Group[\s\:]+.*?Account Name[\s\:\\=]+(.*?)\s+(?:Account Domain|&&)
组安全标识

1

1

1

1

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|Account Name|&&)

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|&&)

Target Account ID[:=\s\\]+(.*?)\s+(?:Caller User Name|&&)

New Account ID[:\s\\=]+(.*?)(?:\s+Caller User Name|&&)
GroupID 1 Group ID[:\s\\=]*(\d+)
主目录 1 Home Directory[:\s]*(.*?)\s+Home Drive:
发起方用户名 1 Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)
登录类型 1 Logon Type[:\s\\=]+(\d+)
消息 1 Message=(.+)
ObjectName

1

1

Object Name[:\s\\=]+(.*?)\s+(?:Object Value Name|&&)

Object Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)

注: 缺省情况下,此正则表达式的 System.Information 表达式中的 Success Audit 事件处于禁用状态,因为它会返回许多事件匹配项并影响性能。
ObjectType 1 Object Type[:\s\\=]*([^\s&]*)
父进程名称

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line
父进程路径

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:
进程命令行 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type|\t|\s\s|&&)
进程名称

1

1

1

Process Name[:\s\\=]+(?:.*\\)+(.*?)\s+(?:Network Information|\s|&&)

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Target Process Name.*\\(.*?)\s+(?:New Token Information|&&)

注: 缺省情况下,此正则表达式的 System.Information 表达式处于禁用状态,因为它可能会返回许多事件匹配项并影响性能。
进程路径

1

1

1

New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type:|&&)

Caller Process Name[:\s\\=]+(.*?)\s+(?:Network Information|&&)
记录号 1 RecordNumber=(\d*)
注册表键

1

1

1

1

Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Object Value Name|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Handle ID|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Handle ID|&&)

Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Object Value Name|&&)
注册表值数据 1 New Value[:\\=]\s+(.+)
注册表值名称 1 Object Value Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)
SAM 帐户名称 1 S(?:AM|am) Account Name[:\s]*(.*?)\s+Display Name:
作用域 1 Scope:\s(.*?)\s+(\d+|$)
服务名称

1

1

1

Service Name[:\s\\=]*(.*?)\s+(?:Service ID:|&&)

\\SYSTEM\\ControlSet\d*\\Services\\(.*?)\s+Object Value Name

Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)
共享名称 1 Share Name[:\s].*?\\([^\\]*?)\s+Share Path:
共享路径

1

1

Share Path[\:\s]*(.*)

Share Path[\:\s]*(.*?)\s+Access Request Information:
目标帐户安全标识

1

2

1

1

1

1

1

1

1

1

1

New Logon.*?Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

(Assigned\sTo|Removed\sFrom):\s+(.*?)\s+?(Assigned|Removed)\sBy:

New Token Information[:\=\s\\]+Security ID[:\=\s\\]+(.*?)\s+(?:Account Name|&&|\s)

Target Subject[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Member[\:\s]+(?:Security )?ID[\:\s\\=]+(.*?)\s+(?:(?:Target\s)?Account Name|&&)

Target Account ID[:\s\\=]+(.*?)\s+(?:Caller Machine Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Account Domain|Caller User Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

New Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

Account That Was Locked Out[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Account For Which Logon Failed.*?Security ID[\:\\\=\s]+(.*?)\s+(?:Account Name|&&)
目标计算机域

1

1

1

New Computer Account:.*Account Domain:\s(.*?)\s+Attributes:

Computer Account That Was Changed:.*Account Domain:\s(.*?)\s+Changed Attributes:

Target Computer:.*Account Domain:\s(.*?)\s+Additional Information:
目标计算机名称

1

1

1

Target Computer:.*Account Name[:\s]*(.*?)\s+Account Domain:

Computer Account That Was Changed:.*Account Name[:\s]*(.*?)\s+Account Domain:

New Computer Account:.*Account Name[:\s]*(.*?)\s+Account Domain:
目标用户域

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

New Account.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Account Domain[\:\\\=\s]+([^\s]+)

New Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[:\s\\=]+([^\s]+)

Target Account ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Caller

Target Domain[\:\\\=\s]+([^\s]+)

Member[\:\s]+(?:Security )?ID[\:\s]+([^\s\\]*?)\\.*?\s+(?:Target\s)?Account Name

New Logon:.*?Account Domain[\:\\\=\s]+([^\s]+)

Account That Was Locked Out[\s\:]*Security ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Account Name

Account For Which Logon Failed.*?Account Domain[\:\\\=\s]+([^\s]+)

New Token Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Subject.*?Account Domain[\:\\\=\s]+([^\s]+)

dntdom=([^\s]+)
目标用户名

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:New Right:|Removed Right:|&&|\s)

Member[\:\s]+(?:Security )?ID[\:\s]+(?:[^\s\\]*?)\\(.*?)\s+(?:Target\s)?Account Name

Whose Credentials Were Used:.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)

Account That Was Locked Out.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Additional Information|&&)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Account For Which Logon Failed.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

Target Account.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&|\s)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Target Account ID:|&&)

duser=([^&]*?)\s+duid

New Account Name[:\s]*(.*?)\s*(?:Additional Information:|&&)

Target Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

New Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|New Domain:|&&)

New Token Information:.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|&&)

Target User Name[:\s\\=]*(.*?)\s*(?:Target Domain:|&&)

New Logon.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)
TaskName

1

1

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task Content:|&&)

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task New Content:|&&)
凭单加密类型 1 Ticket Encryption Type[\s:\\=]*(0[xX][0-9a-fA-F]+)
用户域

1

1

1

1

1

1

Account Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Supplied Realm Name[:\s]+([^\s]+)

Caller Domain:\s+([^\s]+)

Subject.*?Domain[\:\\\=\s]{2,}([^\s]+)

User domain:\s+([^\s]+)

Primary Domain[:\s\\=]*([^\s]+)
用户主体名称 1 User Principal Name[:\s]*(.*?)\s+Home Directory:
用户权限 1 User\sRight:\s+(.*?)\s+?(Assigned\sTo|Removed\sFrom):
用户工作站 1 User Workstations[:\s]*(.*?)\s+Password Last Set:

将从 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.0.4中除去以下定制事件属性。 除去操作不会影响您的环境。 您可以查看属性使用情况,并根据需要更新到替换属性。

表 22. 已替换 1.0.4 中的定制属性
已除去定制属性 替代功能
帐户锁定帐户名称 目标用户名
帐户锁定安全标识 目标帐户安全标识
帐户登录失败帐户域 目标用户域
帐户登录失败帐户名称 目标用户名
帐户登录失败安全标识 目标帐户安全标识
AccountDomain 用户域
AccountName 发起方用户名
调用者计算机名称 计算机名称
调用者域 用户域
调用者进程名称 进程路径
文件 文件名

文件扩展名
成员帐户名称 目标用户名
成员安全标识 目标帐户安全标识
新建帐户域 目标用户域
新帐户名称 目标用户名
新帐户安全标识 目标帐户安全标识
新建登录帐户域 目标用户域
新建登录帐户名称 目标用户名
新建登录安全标识 目标帐户安全标识
新建进程名称 进程名称

原始属性 (新建进程名称) 返回进程路径 (目录和名称一起)。 新属性 (流程名称) 仅返回流程名称。
新建令牌帐户域 目标用户域
新建令牌帐户名称 目标用户名
新建令牌安全标识 目标帐户安全标识
主域 用户域
领域 用户域
源工作站 计算机名称
主题帐户域 用户域
主题帐户名称 发起方用户名
主题安全标识 帐户安全标识
目标帐户域 目标用户域
目标帐户名称 目标用户名
目标域 目标用户域
目标进程名称 进程名称

(返回页首)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.0.1

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.0.1中的定制事件属性。

表 23. IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.0.1 中的定制事件属性
姓名 已优化 捕获组 正则表达式
访问权 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
帐户锁定帐户名称 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
帐户锁定安全标识 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
帐户登录失败帐户域 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
帐户登录失败帐户名称 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
帐户登录失败安全标识 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
帐户安全标识 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID 1 已停用
AccountName

1

1

1

 已停用

已停用

已停用
分配流程图像文件名 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
调用者计算机名称 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
调用者域 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
调用者进程名称 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
调用者用户名 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes 1 Changed\sAttributes:\s+(.*)
客户机域 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
客户机用户名 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
计算机 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
凭证已用帐户域 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
凭证已用帐户名称 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
错误代码 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
事件标识代码 1 \tEventIDCode=(.*?)\t
EventID

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF: [0-9\.] + \ | Microsoft\ | Windows\|. + \ | (\d +) \ |
文件 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
“组”域

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
组名

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)
组安全标识

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)
GroupID 1 Group ID: (\d+)
主目录 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
登录类型 1 \sLogon\sType:\s+(\d+)(\s|$)
成员帐户名称 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
成员安全标识 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
消息 1 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
新建帐户域 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
新帐户名称 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
新帐户安全标识 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
新建登录帐户域 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
新建登录帐户名称 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
新建登录安全标识 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
新建进程映像文件名 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
新建进程名称 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
新建令牌帐户域 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
新建令牌帐户名称 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
新建令牌安全标识 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName

1

1

 已停用

已停用
ObjectType 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
主域 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
主用户名 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
进程名称 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
领域 1 Supplied Realm Name: (.*?)[ ]
记录号 1 \tRecordNumber=(.*?)\t
SAM 帐户名称 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
作用域 1 Scope:\s(.*?)\s+(\d+|$)
辅助用户名 1 \tSecondaryUserName=(.*?)\t
服务名称 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
共享名称 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
源工作站 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
主题帐户域 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
主题帐户名称 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
主题安全标识 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
目标帐户域 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
目标帐户名称 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
目标帐户安全标识

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:
目标域 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
目标进程名称 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
目标用户名 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
用户帐户 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
用户域 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
用户名 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
用户主体名称 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
用户权限 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
用户工作站 1 \s\sUser\sWorkstations:\s(.*?)\s\s

(返回页首)

IBM Security QRadar Microsoft Windows Content Extension 的定制属性 1.0.0

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.0.0中的定制事件属性。

表 24. IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.0.0 中的定制事件属性
姓名 已优化 捕获组 正则表达式
访问权 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
帐户锁定帐户名称 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
帐户锁定安全标识 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
帐户登录失败帐户域 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
帐户登录失败帐户名称 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
帐户登录失败安全标识 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
帐户安全标识 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID 1 Target Account ID: (.*?)
AccountName

1

1

1

New Account Name: (.*?)

Target Account Name: (.*?)

Account Name:\s*(.+?)\s+(Additional Information|Account Domain|Service Information|SID History|Access Granted|Access Removed|Group|Display Name|Supplied Realm Name|Workstation|New Domain):
分配流程图像文件名 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
调用者计算机名称 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
调用者域 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
调用者进程名称 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
调用者用户名 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes 1 Changed\sAttributes:\s+(.*)
客户机域 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
客户机用户名 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
计算机 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
凭证已用帐户域 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
凭证已用帐户名称 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
错误代码 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
事件标识代码 1 \tEventIDCode=(.*?)\t
EventID

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF: [0-9\.] + \ | Microsoft\ | Windows\|. + \ | (\d +) \ |
文件 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
“组”域

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
组名

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)
组安全标识

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)
GroupID 1 Group ID: (\d+)
主目录 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
登录类型 1 \sLogon\sType:\s+(\d+)(\s|$)
成员帐户名称 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
成员安全标识 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
消息 10 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
新建帐户域 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
新帐户名称 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
新帐户安全标识 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
新建登录帐户域 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
新建登录帐户名称 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
新建登录安全标识 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
新建进程映像文件名 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
新建进程名称 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
新建令牌帐户域 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
新建令牌帐户名称 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
新建令牌安全标识 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName

1

1

Object Name: (.*?)

New Process Name: (.*?)
ObjectType 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
主域 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
主用户名 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
进程名称 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
领域 1 Supplied Realm Name: (.*?)[ ]
记录号 1 \tRecordNumber=(.*?)\t
SAM 帐户名称 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
作用域 1 Scope:\s(.*?)\s+(\d+|$)
辅助用户名 1 \tSecondaryUserName=(.*?)\t
服务名称 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
共享名称 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
源工作站 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
主题帐户域 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
主题帐户名称 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
主题安全标识 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
目标帐户域 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
目标帐户名称 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
目标帐户安全标识

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:
目标域 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
目标进程名称 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
目标用户名 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
用户帐户 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
用户域 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
用户名 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
用户主体名称 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
用户权限 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
用户工作站 1 \s\sUser\sWorkstations:\s(.*?)\s\s

(返回页首)

下表显示了 IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 中的定制事件属性所基于的事件标识和事件名称

表25。 IBM 安全性 QRadar Microsoft Windows 内容扩展的定制属性 1.2.1 中的事件标识
事件标识 事件名称
1 流程创建
2 进程更改了文件创建时间
3 检测到网络连接
5 进程已终止
7 已装入映像
8 创建 RemoteThread
10 ProcessAccess
11 FileCreate
13 注册表事件 (值集)
15 日 FileCreateStreamHash
22 DNS 查询
23 文件删除
513 成功审计: 已创建用户帐户
537 登录失败-由于其他原因,登录尝试失败
627 成功审计: 更改密码尝试成功
631 已创建组
632 已添加全局组成员
634 已删除组
636 已添加本地组成员
637 本地组成员已除去
850 Windows 防火墙配置
4103 模块日志记录命令调用
4104 已执行/已编译的脚本块
4624 成功审计: 已成功登录帐户
4625 失败审计: 帐户登录失败
4648 成功审计: 使用显式凭证登录成功
4656 失败审计: 请求了对象的句柄
4657 成功审计: 已修改注册表值
4662 成功审计: 对对象执行了操作
4663 成功审计: 尝试访问对象
4670 成功审计: 对象上的许可权已更改
4688 成功审计: 已创建新流程
4689 成功审计: 进程已退出
4696 成功审计: 已将主令牌分配给进程
4698 成功审计: 已创建预定任务
4702 成功审计: 已更新调度的任务
4720 成功审计: 已创建用户帐户
4723 成功审计: 尝试更改帐户的密码
4725 成功审计: 已禁用用户帐户
4726 已删除用户帐户
4727 成功审计: 已创建启用安全性的全局组
4728 成功审计: 已将成员添加到启用了安全性的全局组
4729 成功审计: 已从启用安全性的全局组中除去成员
4730 成功审计: 已删除启用安全性的全局组
4732 成功审计: 已将成员添加到启用了安全性的本地组
4733 成功审计: 已从启用安全性的本地组中除去成员
4735 成功审计: 已更改启用安全性的本地组
4737 成功审计: 已更改启用安全性的全局组
4738 成功审计: 用户帐户已更改
4740 成功审计: 用户帐户已锁定
4741 成功审计: 已创建计算机帐户
4742 成功审计: 已更改计算机帐户
4743 成功审计: 已删除计算机帐户
4754 成功审计: 已创建启用安全性的通用组
4755 成功审计: 已更改启用安全性的通用组
4756 成功审计: 已将成员添加到启用了安全性的通用组
4761 成功审计: 已将成员添加到已禁用安全性的通用组
4762 成功审计: 已从已禁用安全性的通用组中除去成员
4767 成功审计: 用户帐户已解锁
4768 成功审计: 已请求 Kerberos 认证凭单 (TGT)
4769 故障审计: 已拒绝 Kerberos 服务凭单
5140 访问了网络共享对象
5142 已添加网络共享对象
5145 成功审计: 已检查网络共享对象以进行访问

(返回页首)