DLP de Symantec

La extensión de contenido IBM Security QRadar Symantec Data Loss Prevention Custom Properties añade nuevas propiedades de eventos personalizadas para Symantec DLP.

Acerca de la extensión DLP de Symantec

Utilice la extensión de contenido IBM Security QRadar Symantec DLP Custom Properties para normalizar datos de sucesos específicos de un origen de registro. Las propiedades de sucesos personalizadas pueden hacer más visibles los datos importantes en sus búsquedas del sistema e informes.

Importante: Para evitar errores de contenido en esta extensión de contenido, mantenga actualizados los DSM asociados. La actualización de los DSM se incluye en las actualizaciones automáticas. Si las actualizaciones automáticas no están activadas, descargue la versión más reciente de los DSM asociados desde IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Symantec DLP Content Extension 1.0.0

En la tabla siguiente se muestran las propiedades personalizadas nuevas en IBM Security QRadar Symantec DLP Content Extension 1.0.0.

Tabla 1. Propiedades personalizadas en IBM Security QRadar Symantec DLP Content Extension 1.0.0.
Nombre Optimizada Grupo de capturas Expresión regular
Bloqueado Nee 1

BLOCKED\ | (. *?) \ |

bloqueado = (. *?) \ |
Directorio de archivos 1

PARENT_PATH\ | (. *?) \ |

parentPath=(.*?)\|
Vía de acceso del archivo Nee 1

PATH\ | (. *?) \ |

path = (. *?) \ |
Nombre de archivo 1

fileName=(.*?)\|

FILE_NAME\ | (. *?) \ |
Detalle de Icident Nee 1

incidentSnapshot=(.*?)\|

INCIDENT_SNAPSHOT\ | (. *?) \ |
MessageID 1

incidentID=(.*?)\|

INCIDENT_ID\ | (. *?) \ |
Detalles de regla 1

rules = (. *?) \ |

RULES\ | (. *?) \ |
Asunto 1

subject = (. *?) \ |

ASUNTO \ | (. *?) \ |
Detalles de destino 1

TARGET\ | (. *?) (?: \ | | $)

target = (. *?) (?: \ | | $)