ObserveIT
使用 IBM 安全 QRadar ObserveIT 内容扩展密切监控您的 ObserveIT 部署。
注: 在 V1.0.1中更新了 警报标识 和 警报严重性 的定制属性标识。 如果已安装此扩展的 V1.0.0 ,请先删除 警报标识 和 警报严重性 ,然后再升级到最新版本。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM 安全 QRadar 内容扩展 ObserveITV1.0.1
下表显示了 IBM Security QRadar ObserveIT Content Extension V1.0.1中新增或更新的定制属性。
| 名称 | 已优化 | 正则表达式 |
|---|---|---|
| 进程名称 | 是 | ProcessName: "([^"]*)" |
IBM 安全 QRadar 内容扩展 ObserveITV1.0.0
下表显示了 IBM Security QRadar ObserveIT Content Extension V1.0.0中新增或更新的定制属性。
| 名称 | 正则表达式 |
|---|---|
| 警报标识 | AlertID: "([^"]*)" |
| 警报规则名称 | RuleName: "([^"]*)" |
| 警报严重性 | 严重性: "([^"] *) " |
| 警报 SQL 数据库名称 | SqlDBName: "([^"]*)" |
| 警报 SQL 用户名 | SqlUserName: "([^"]*)" |
| 警报时间 | AlertTime: "([^"]*)" |
| 申请名称 | ApplicationName: "([^"]*)" |
| 客户机名称 | ClientName: "([^"]*)" |
| 命令 | 命令: "([^"] *) " |
| 域 | DomainName: "([^"]*)" |
| 操作系统 | 操作系统: "([^"] *) " |
| 进程名称 | ProcessName: "([^"]*)" |
| 屏幕快照标识 | ScreenshotID: "([^"]*)" |
| 服务器名称 | ServerName: "([^"]*)" |
| 会话结束日期 | SessionLastActivityDate: "([^"]*)" |
| 会话标识 | SessionID: "([^"]*)" |
| 会话开始日期 | SessionDate: "([^"]*)" |
| 用户认证 | UserAuthentication: "([^"]*)" |
| 用户名 | UserName: "([^"]*)" |
| URL | VideoURL: "([^"]*)" |
| URL | VideoURL: "([^"]*)" |
| URL话 | VideoURL: "([^"]*)" |
| 窗口标题 | WindowTitle: "([^"]*)" |