Squid
使用 IBM 安全性 QRadar 自定义属性 Squid 来密切监控您的 Squid Web 代理部署。
重要信息: 为了避免此内容扩展中的内容错误,请使关联的 DSM 保持最新。 DSM 作为自动更新的一部分进行更新。 如果未启用自动更新,请从 IBM® Fix Central (https://www.ibm.com/support/fixcentral) 下载最新版本的相关 DSM。
IBM Security QRadar Squid 1.0.4 的定制属性
1.0.4 QRadar 自定义属性中删除了 HTTP自定义属性。
IBM Security QRadar Squid 的定制属性 1.0.3
下表显示了 IBM Security QRadar Custom Properties for Squid 1.0.3中的新定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 响应代码 | 否 | 1 | \/ (\d{3}) \s + |
HTTP自定义属性已弃用。 可以改为使用新的 响应代码 定制属性。
IBM Security QRadar Squid V1.0.2
下表显示了在 IBM Security QRadar Custom Properties for Squid V1.0.2中更新的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| BytesReceived | 是 | 1 | (\d +) \s (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE) |
URL 自定义属性被赋予了一个新的ID,以避免与其他内容扩展中同名自定义属性发生冲突。
IBM Security QRadar Squid V1.0.1
下表显示了 IBM Security QRadar Custom Properties for Squid V1.0.1中的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| URL | 是 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s ([^ \; \s] +) |
| URL 方案 | 否 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s ([^ \; \s \/] *?): \/ \/ |
| UrlHost | 是 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s (?: [^ \; \s \/] * ?:\/\/)? (?:www\.)? ([^ \s \; \/: \ , \"] +) |
| URL 路径 | 否 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s (?: [^ \; \s \/] * ?:\/\/) [^ \; \s \/] + \/([^ \; \s \?] +) |
| 文件名 | 是 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s (?: [^ \; \s \/] * ?:\/\/) [^ \; \s \?] + \/([^ \; \s \?] + \. [^ \; \s \?] +) |
| 文件扩展名 | 是 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s (?: [^ \; \s \/] * ?:\/\/) [^ \; \s \?] + \/[^ \; \s \?] + \. ([^ \; \s \?] +) |
| URL | 否 | 1 | (? :GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s (?: [^ \; \s \/] * ?:\/\/) [^ \; \s \?] + \? ([^ \; \s] +) |
| 方法 | 否 | 1 | (GET|POST|CONNECT|TUNNEL|HEAD|PUT|DELETE) \s |
| 内容类型 | 否 | 1 | \/\d{3}(?:\s[\w\/\.\-\:\?\&\=]*){5}\s(.{2,}) |
| BytesReceived | 否 | 1 | (\d +) \s (? :GET | POST | CONNECT | TUNNEL | HEAD | PUT | DELETE) |
IBM Security QRadar Squid V1.0.0
下表显示了 IBM Security QRadar Custom Properties for Squid V1.0.0中的定制属性。
| 名称 | 正则表达式 |
|---|---|
| HTTP 状态码 | \/ (\d{3}) \s + |
| 方法 | (GET|POST|CONNECT|TUNNEL) \s |
| URL | CONNECT \s + (\w +\.\w+\.\w+): (http|ftp|tcp|https): \/\/(. +?) \s |