Buscador de coincidencias (matcher)

Una entidad de buscador de coincidencias es un campo que se analiza, por ejemplo, EventName, y se empareja con el patrón y grupo adecuados para el análisis.

Los buscadores de coincidencias tienen un orden asociado. Si se especifican varios buscadores de coincidencias para el mismo nombre de campo, los buscadores de coincidencias se ejecutan en el orden especificado hasta que se encuentra un análisis satisfactorio o se produce una anomalía.

Tabla 1. Descripción de parámetros de buscador de coincidencias
Parámetro Descripción

field (Necesario)

El campo al que debe aplicarse el patrón, por ejemplo, EventName o SourceIp. Puede utilizar cualquiera de los nombres de campo listados en la tabla Lista de nombres de campo de buscador de coincidencias válidos .

pattern-id (Necesario)

El patrón que desea utilizar cuando el campo se analice desde la carga útil. Este valor debe coincidir (incluidas las mayúsculas y minúsculas) con el parámetro de ID del patrón que se ha definido anteriormente en un parámetro de ID de patrón (Tabla 1).

order (Necesario)

El orden en el que desea que se intente este patrón entre los buscadores de coincidencias que están asignados al mismo campo. Si dos buscadores de coincidencias están asignados al campo EventName, el que tiene el orden más bajo se intenta en primer lugar.

capture-group (Opcional)

Referenciado en la expresión regular entre paréntesis (). Estas capturas se indexan a partir de una y se procesan de izquierda a derecha en el patrón. El campo capture-group debe ser un entero positivo menor o igual que el número de grupos de captura contenidos en el patrón. El valor predeterminado es cero, que es la coincidencia completa.

Por ejemplo, puede definir un único patrón para una dirección IP y puerto de origen, donde el buscador de coincidencias SourceIp puede utilizar un grupo de captura de 1, y el buscador de coincidencias SourcePort puede utilizar un grupo de captura de 2, pero sólo es necesario definir un patrón.

Este campo tiene un doble objetivo cuando se combina con el parámetro enable-substitutions.

Para ver un ejemplo, revise el ejemplo de documento de extensión.

enable-substitutions (Opcional)

Booleano

Si se establece en true, un campo no puede representarse adecuadamente con un grupo de captura directo. Puede combinar varios grupos con texto adicional para formar un valor.

Este parámetro cambia el significado del parámetro capture-group. El parámetro capture-group crea el nuevo valor, y las sustituciones de grupo se especifican mediante \x, donde x es un número de grupo, 1 - 9. Puede utilizar los grupos varias veces, y también puede insertar cualquier texto de formato libre en el valor. Por ejemplo, para formar un valor a partir del grupo de 1, seguido de un signo de subrayado, seguido del grupo 2, @ y luego de nuevo el grupo 1, se muestra la sintaxis adecuada de capture-group en el código siguiente:

capture-group=”\1_\2@\1”

En otro ejemplo, una dirección MAC está separada por dos puntos, pero en QRadar, las direcciones MAC suelen estar separadas por guiones. La sintaxis para analizar y capturar las partes individuales se muestra en el ejemplo siguiente:

capture-group=”\1:\2:\3:\4:\5:\6”

Si no se especifican grupos en el grupo de captura cuando se habilitan las sustituciones, se produce una sustitución de texto directa.

El valor predeterminado es false.

ext-data (Opcional)

Un parámetro de datos adicionales que define cualquier información o formato de campo adicional que un campo de buscador de coincidencias puede proporcionar en la extensión.

El único campo que utiliza actualmente este parámetro es DeviceTime.

Por ejemplo, puede tener un dispositivo que envía sucesos mediante una indicación de fecha y hora exclusiva, pero desea reformatear el suceso con una hora de dispositivo estándar. Utilice el parámetro ext-data incluido en el campo DeviceTime para reformatear la indicación de fecha y hora del suceso. Para obtener más información, consulte la Lista de nombres de campo de buscador de coincidencias válidos.

La tabla siguiente lista los nombres de campo de buscador de coincidencias válidos.

Tabla 2. Lista de nombres de campo de buscador de coincidencias válidos
Nombre de campo Descripción

EventName (Obligatorio)

El nombre del suceso que debe recuperarse del QID para identificar el suceso.

Nota: Este parámetro no aparece como un campo en la pestaña Actividad de registro .

EventCategory

gato (LEEF)

Una categoría de suceso para cualquier suceso con una categoría no manejada por una entidad event-match-single o una entidad event-match-multiple.

Combinado con EventName, EventCategory se utiliza para buscar el suceso en el QID. Los campos que se utilizan para las búsquedas de QIDmap requieren que se establezca un distintivo de alteración temporal cuando los dispositivos ya son conocidos por QRadar, por ejemplo,
<event-match-single event-name=
"Successfully logged in" 
force-qidmap-lookup-on-fixup="true" 
device-event-category="CiscoNAC" 
severity="4" send-identity=
"OverrideAndNeverSend" />
force-qidmap-lookup-on-fixup="true" es el distintivo de alteración temporal.
Nota: Este parámetro no aparece como un campo en la pestaña Actividad de registro .

SourceIp

src (LEEF)

La dirección IP de origen del mensaje.

SourcePort

srcPort (LEEF)

El puerto de origen del mensaje.

SourceIpPreNAT

srcPreNAT (LEEF)

La dirección IP de origen del mensaje antes de que se produzca la conversión de direcciones de red (NAT).

SourceIpPostNAT

srcPostNAT (LEEF)

La dirección IP de origen del mensaje después de que se produzca la NAT.

SourceMAC

srcMAC (LEEF)

La dirección MAC de origen del mensaje.

SourcePortPreNAT

srcPreNATPort (LEEF)

El puerto de origen del mensaje antes de que se produzca la NAT.

SourcePortPostNAT

srcPostNATPort (LEEF)

El puerto de origen del mensaje después de que se produzca la NAT.

DestinationIp

dst (LEEF)

La dirección IP de destino del mensaje.

DestinationPort

dstPort (LEEF)

El puerto de destino del mensaje.

DestinationIpPreNAT

dstPreNAT (LEEF)

La dirección IP de destino del mensaje antes de que se produzca la NAT.

DestinationIpPostNAT

dstPostNAT (LEEF)

La dirección IP de destino del mensaje después de que se produzca la NAT.

DestinationPortPreNAT

dstPreNATPort (LEEF)

El puerto de destino del mensaje antes de que se produzca la NAT.

DestinationPortPostNAT

dstPostNATPort (LEEF)

El puerto de destino del mensaje después de que se produzca la NAT.

DestinationMAC

dstMAC (LEEF)

La dirección MAC de destino del mensaje.

DeviceTime

devTime (LEEF)

El formato de fecha y hora que se utiliza en el dispositivo. Esta indicación de fecha y hora representa la hora a la que se ha enviado el suceso, según el dispositivo. Este parámetro no representan la hora a la que ha llegado el suceso. El campo DeviceTime da soporte a la capacidad de utilizar una indicación de fecha y hora personalizada para el suceso utilizando el atributo ext-data del buscador de coincidencias.

La lista siguiente contiene ejemplos de formatos de indicación de fecha y hora que se pueden utilizar en el campo DeviceTime:

  • ext-data="dd/MMM/AAAA:hh:mm:ss"

    11/Mar/2015:05:26:00

  • ext-data="MMM dd AAAA / hh:mm:ss"

    Mar 11 2015 / 05:26:00

  • ext-data="hh:mm:ss:dd/MMM/AAAA"

    05:26:00:11/Mar/2015

Para obtener más información sobre los valores posibles para los datos y el formato de indicación de fecha y hora, consulte la página webJoda-Time (http://www.joda.org/joda-time/key_format.html).

DeviceTime es el único campo de suceso que utiliza el parámetro opcional ext-data.

Protocolo

proto (LEEF)

El protocolo del mensaje; por ejemplo, TCP, UDP o ICMP.

UserName

El nombre de usuario del mensaje.

HostName

identHostName (LEEF)

El nombre de host del mensaje. Normalmente, este campo está asociado a sucesos de identidad.

GroupName

identGrpName (LEEF)

El nombre de grupo del mensaje. Normalmente, este campo está asociado a sucesos de identidad.

IdentityIp

La dirección IP de identidad del mensaje.

IdentityMac

identMAC (LEEF)

La dirección MAC de identidad del mensaje.

IdentityIpv6

La dirección IP de identidad de IPv6 para el mensaje.

NetBIOSName

identNetBios (LEEF)

El nombre NetBIOS del mensaje. Normalmente, este campo está asociado a sucesos de identidad.

ExtraIdentityData

Cualquier dato específico del usuario para el mensaje. Normalmente, este campo está asociado a sucesos de identidad.

SourceIpv6

La dirección IP de origen IPv6 del mensaje.

DestinationIpv6

La dirección IP de destino IPv6 del mensaje.