VMware
IBM 安全 QRadar VMware 内容扩展为 VMware 添加了新的自定义事件属性。
IBM Security QRadar VMware V1.1.0 内容扩展
下表显示了在 IBM Security QRadar VMware V1.1.0 内容扩展中更新的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 角色名 | 是 | 1 | 来自. *? 到 role\s + '(. *?)' |
IBM Security QRadar VMware V1.0.0 内容扩展
下表显示了 IBM Security QRadar VMware V1.0.0 内容扩展中的定制属性。
| 名称 | 已优化 | 捕获组 | 正则表达式 |
|---|---|---|---|
| 文件名 | 是 | 1 | \] (?: [^ \/] *? \/) *? ([^ \/ \'] *?) ' 为 msg = 删除文件或目录 \s. * (?:\\ | \/) (. *?) \sfrom fileName=([^\t]+)[\t]* |
| 机器标识 | 是 | 1 | 关于 \s (. *?) \son 的警告消息 msg =. *? \s (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) \s msg = 消息在 \s (. *?) \son 上 msg = (. *?) \son 已为 \s\w + \son\s ([^ ,] +) 创建许可权 已除去 \s\w + \son\s (. *) $的许可权规则 msg = 重新配置 (. *?) \son 机器 (. *?) \son 已创建许可权。*? on (. *?) , msg = Removed\s (. *?) \son |
| 角色名 | 是 | 1 | 角色 is\s ([^ ,] +) 从 * 到 "(. *?)" |
| 目标用户名 | 是 | 1 | msg = Account\s + (. *?) \s + 已 已除去许可权规则 \s (\w +) 为 \s (\w +) 创建的许可权 为 (. *?) 创建的许可权 |
| TaskName | 否 | 1 | Task\sCreated\s:.*?(\w+\.\w+)-\d+ Task\sCompleted\s:.*?(\w+\.\w+)-\d+ |
| 用户代理 | 否 | 1 | 用户代理程序: \s (. *) $ 已登录 \s (. *) $ 已启动 \sfrom\s \ ' (. *?) @ |