Messaggio evento di esempio Cisco AMP
Utilizzare questo evento di esempio per verificare una corretta integrazione con QRadar.
Importante: A causa di formattazione dei problemi, incollare il formato del messaggio in un editor di testo e quindi rimuovere eventuali ritorni di trasporto o i caratteri di alimentazione della linea.
Messaggio di esempio Cisco AMP quando si utilizza il protocollo RabbitMQ
Il seguente messaggio di evento di esempio mostra che viene rilevata una minaccia DFC.
{"id":6629038896162275332,"timestamp":1543443393,"timestamp_nanoseconds":258000000,"date":"2018-11-28T22:16:33+00:00","event_type":"DFC Threat Detected","event_type_id":1090519084,"detection_id":"6629038896162275330","connector_guid":"connector_guid","group_guids":["group_guids"],"severity":"High","computer":{"connector_guid":"connector_guid","hostname":"example.com","external_ip":"172.16.0.0","user":"root","active":true,"network_addresses":[{"ip":"172.16.0.0","mac":"00-00-5E-00-53-00"}],"links":{"computer":"computer","trajectory":"trajectory","group":"group"}},"network_info":{"remote_ip": "172.16.0.1","remote_port": 443,"local_ip": "10.51.100.0","local_port": 55807,"nfm":{"direction":"Outgoing connection from","protocol":"UDP"},"parent":{"process_id":2608,"disposition":"Clean","file_name":"chrome.exe","identity": {"sha256": "sha256","sha1": "sha1","md5": "md5"}}}}| QRadar Nome campo | Nome campo di payload evidenziato |
|---|---|
| ID evento | event_tipo_id |
| Categoria | CiscoAMP |
| IP di origine | local_ip |
| Porta di origine | local_porta |
| Indirizzi Di Rete | indirizzo_ip_remoto |
| Porta di destinazione | port remote_port |
| Ora di origine log | data/ora |