使用 IBM 安全 QRadar osquery 自定义属性内容扩展使用 osquery 密切监控 Linux® 设备。
注: 当
Cisco AMP 1.0.0中存在
父文件名 定制属性时,不会安装此内容扩展。 在安装此内容扩展之前,请删除
父文件名 。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从
IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar osquery 定制属性内容扩展
IBM Security QRadar osquery 定制属性内容扩展 1.0.2
下表显示了 IBM Security QRadar osquery Custom Properties Content Extension 1.0.2中新的和更新的定制属性。
表 1. IBM 安全性 QRadar osquery 定制属性内容扩展 1.0.2 中新增和更新的定制属性
| 名称 |
已优化 |
正则表达式捕获组 |
正则表达式 |
| 进程标识 |
是 |
1 |
x_forwarded_for_header_value = "([^"] *) " |
IBM Security QRadar osquery 定制属性内容扩展 1.0.1
下表显示了 IBM Security QRadar osquery Custom Properties Content Extension 1.0.1中新的和更新的定制属性。
表 2. IBM 安全性 QRadar osquery 定制属性内容扩展 1.0.1 中新增和更新的定制属性
| 名称 |
已优化 |
正则表达式捕获组 |
表达式 |
| 容器映像 |
是 |
1 |
- 正则表达式
- \bimage ":" ([^ \s "] +)". * action ":" added "
- JSON
- /"columns"/"image"
|
| 容器映像标识 |
是 |
1 |
- 正则表达式
- \bimage_id ":" ([^ \s "] +)". * action ":" added "
- JSON
- /"columns"/"image_id"
|
IBM Security QRadar osquery 定制属性内容扩展 1.0.0
下表显示了 IBM Security QRadar osquery Custom Properties Content Extension 1.0.0中的定制属性。
表 3. IBM 安全性 QRadar osquery 定制属性内容扩展 1.0.0 中的定制属性
| 名称 |
已优化 |
正则表达式捕获组 |
表达式 |
| 容器标识 |
是 |
1 |
- 正则表达式
- \bid ":" ([^ \s "] +)"
- \bcontainer_id ":" ([^ \s "] +)"
- JSON
- /"columns"/"id"
- /"columns"/"container_id"
|
| 容器映像 |
否 |
1 |
- 正则表达式
- \bimage ":" ([^ \s "] +)". * action ":" added "
- JSON
- /"columns"/"image"
|
| 容器映像标识 |
否 |
1 |
- 正则表达式
- \bimage_id ":" ([^ \s "] +)". * action ":" added "
- JSON
- /"columns"/"image_id"
|
| 容器名称 |
否 |
1 |
- 正则表达式
- \bcontainer_name ":" \/{0,1}([^ \"] +)
|
| 目标安装点 |
否 |
|
- JSON
- /"列"/"目标"
|
| 文件目录 |
是 |
1 |
- 正则表达式
- \btarget_path [\" :\s] + ([^ \"] +) \/ [^ \"] +
|
| 文件扩展名 |
是 |
1 |
- 正则表达式
- \btarget_path ":". * ?\/ [^ \/] + \. ([^ \/\.] *?)"
|
| 文件许可权 |
是 |
|
- JSON
- /"columns"/"mode"
|
| 文件名 |
是 |
1 |
- 正则表达式
- \btarget_path [\" :\s] + [^ \"] + \/ ([^ \" \/] +) "
|
| GroupID |
是 |
|
- JSON
- /"columns"/"gid"
|
| 图像标记 |
否 |
1 |
- 正则表达式
- \btags ":" ([^ \"] +) "
- JSON
- /"columns"/"tags"
|
| 父进程名称 |
是 |
1 |
- 正则表达式
- \bparent_process_name ":" ([^ \"] +) ". * "action": "added"
- JSON
- /"columns"/"parent_process_name"
|
| 父进程路径 |
是 |
1 |
- 正则表达式
- parent_process_path ":" ([^ \"] +) "。*?" action ":" added "
- JSON
- /"columns"/"parent_process_path"
|
| 特权容器 |
是 |
1 |
- 正则表达式
- \bprivileged ":" (\d) "。*" 操作 ":" 已添加 "
- JSON
- /"列"/"特权"
|
| 进程命令行 |
是 |
1 |
- 正则表达式
- cmdline ":" (. *?) ". *" action ":" added "
- JSON
- /"columns"/"cmdline"
|
| 进程标识 |
否 |
1 |
- 正则表达式
- \bpid ":" (\d +) "
- JSON
- /"columns"/"pid"
|
| 进程名称 |
是 |
1 |
- 正则表达式
- \bprocess_name ":" ([^ \"] +) ". * action": " 已添加
- JSON
- /"columns"/"process_name"
|
| 规则详细信息 |
是 |
|
- JSON
- /"columns"/"rule_details"
|
| SHA256 散列 |
是 |
1 |
- 正则表达式
- \bsha256": \s*" ([^ \"] +) ". * action": " 已添加
- JSON
- /"columns"/"sha256"
|
| 源安装点 |
是 |
|
- JSON
- /"列"/"源"
|
| 目标用户名 |
是 |
|
- JSON
- /"columns"/"header"
- /"columns"/"username"
|
| 用户标识 |
是 |
|
- JSON
- /"columns"/"uid"
|