Cisco AMP
La extensión de contenido IBM Security QRadar Cisco AMP añade nuevas propiedades de eventos personalizados para Cisco AMP.
IBM Seguridad QRadar Extensiones de contenido de Cisco AMP
- IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.1.0
- IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.3
- IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.2
- IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.1
- IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.0
IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.1.0
- Hash MD5
- Padre MD5
- Hash SHA1 de padre
- Hash SHA256 de padre
- SHA1 Hash
Se actualiza la categoría de nivel bajo para la propiedad Nombre de archivo.
La propiedad Hash padre se elimina.
IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.3
En la tabla siguiente se muestran las propiedades personalizadas nuevas o actualizadas en IBM Security QRadar Cisco AMP Content Extension 1.0.3.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| EventID | Sí | 1 | "event_type_id":\s*(\d*) |
IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.2
En la tabla siguiente se muestran las propiedades personalizadas nuevas o actualizadas en IBM Security QRadar Cisco AMP Content Extension 1.0.2.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Hash MD5 | Sí | 1 | "file":.*?"md5":\s*"([^"]*)" |
| SHA1 Hash | Sí | 1 | "file":.*?"sha1":\s*"([^"]*)" |
IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.1
En la tabla siguiente se muestran las propiedades personalizadas nuevas o actualizadas en IBM Security QRadar Cisco AMP Content Extension 1.0.1.
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Nombre de proceso padre | Sí | 1 | "parent":.*?"file_name":\s*\"([^\"]*)" |
| Hash SHA256 | Sí | 1 | "file":.*?"sha256":\s*\"([^\"]*)" |
IBM Seguridad QRadar Extensión de contenido de Cisco AMP 1.0.0
En la tabla siguiente se muestran las propiedades personalizadas en la extensión de contenido IBM Security QRadar Cisco AMP 1.0.0 .
| Nombre | Optimizada | Grupo de capturas | Expresión regular |
|---|---|---|---|
| Disposición de archivo de archivado | Nee | 1 | "archived_file":.*?"disposition":\s*\"([^\"]*)" |
| Hash SHA256 de archivo de archivado | Nee | 1 | "archived_file":.*?"sha256":\s*\"([^\"]*)" |
| Nombre del sistema | Nee | 1 | "hostname":\s*"([^\"]*) |
| Disposición | Nee | 1 | "file":.*?"disposition":\s*\"([^\"]*)" |
| EventID | Nee | 1 | "event_type_id":\s*(\d*) |
| Directorio de archivos | Sí Sí |
1 1 |
"file":.*?"file_path":\s*\"([^\"]*)(?:\\|\/)[^\\\/]*" "description": "([^ \"] *) (?: \\ | \/) [^ \\\/] *" |
| Extensión de archivo | Sí | 1 | "file":.*?"file_name":\s*\"[^\"\.]*\.([^\"]*)" |
| Hash de archivo | Sí | 1 | "file":.*?"(?:sha256|sha1|md5)":\s*\"([^\"]*)" |
| Vía de acceso del archivo | Nee Nee |
1 1 |
"description": "(. *?)" "file":.*?"file_path":\s*\"([^\"]*)" |
| Nombre de archivo | Sí Sí |
1 1 |
"file":.*?"file_name":\s*\"([^\"]*)" "description": "(?:. * | \\) \\ (. *?)" |
| Hash MD5 | Nee | 1 | "file":.*?"md5":\s*\"([^\"]*)" |
| Disposición padre | Nee | 1 | "parent":.*?"disposition":\s*\"([^\"]*)" |
| Nombre de archivo padre | Nee | 1 | "parent":.*?"file_name":\s*\"([^\"]*)" |
| Hash padre | Nee | 1 | "parent":.*?"(?:sha256|sha1|md5)":\s*\"([^\"]*)" |
| Padre MD5 | Nee | 1 | "parent":.*?"md5":\s*\"([^\"]*)" |
| ID de proceso padre | Nee | 1 | "parent":.*?"process_id":\s*(\d*) |
| Hash SHA1 de padre | Nee | 1 | "parent":.*?"sha1":\s*\"([^\"]*)" |
| Hash SHA256 de padre | Nee | 1 | "parent":.*?"sha256":\s*\"([^\"]*)" |
| Enlace de referencia. | Nee | 1 | "trajectory":"([^\"]*)\", |
| SHA1 Hash | Nee | 1 | "file":.*?"sha1":\s*\"([^\"]*)" |
| Hash SHA256 | Nee | 1 | "file":.*?"sha256":\s*\"([^\"]*)" |
| Nombre de amenaza | Sí | 1 | "detection":\s*"([^\"]*) |