Linux

L'estensione IBM Security QRadar Linux® aggiunge nuove proprietà di eventi personalizzati per Linux.

Importante per evitare errori di contenuto in questa estensione di contenuto, tenere aggiornati i DSM associati. I DSM vengono aggiornati come parte degli aggiornamenti automatici. Se gli aggiornamenti automatici non sono abilitati, scaricare la versione più recente dei DSM associati da IBM® Fix Central (https://www.ibm.com/support/fixcentral).

IBM Security QRadar Linux Content Extensions

Proprietà personalizzate in Linux 1.1.3 estensione del contenuto
Proprietà personalizzate in Linux 1.1.2 content extension
Proprietà personalizzate in Linux 1.1.1 estensione del contenuto
Proprietà personalizzate in Linux 1.1.0 content extension
Proprietà personalizzate in Linux 1.0.1 content extension
Proprietà personalizzate nell'estensione del contenuto Linux 1.0.0

Proprietà personalizzate nell'estensione del contenuto Linux 1.1.3

La seguente tabella mostra le nuove proprietà personalizzate nell'estensione del contenuto IBM Security QRadar Linux 1.1.3 .

Tabella 1. Nuove proprietà personalizzate in Linux 1.1.3 content extension
Nome	Ottimizzato	Gruppo di cattura	Regex
Estensione file	Sì	1	item = \d + name=" (?: [ ^ \"] + \ /) * .. ? \. ([ ^ \.] ? (?:\. [ ^ \.] *?){0,1}) "

Tabella 2. Nuovi nomi proprietà in Linux 1.1.3 content extension
Vecchio nome proprietà	Nuovo nome proprietà
GroupID	ID gruppo
ID macchina	Identificativo macchina
Riga comandi processo	Comando
ID processo	ID processo
UrlHost	URL Host

Proprietà personalizzate nell'estensione del contenuto Linux 1.1.2

La seguente tabella mostra le nuove proprietà personalizzate nell'estensione del contenuto IBM Security QRadar Linux 1.1.2 .

Tabella 3. Nuove proprietà personalizzate in Linux 1.1.2 content extension
Nome	Ottimizzato	Gruppo di cattura	Regex
Tipo	N	1	`type=([^\s]*)`
Nome account oggetto	Sì	1	`Account Name:\s+(.*?)\s+Account Domain:`

Proprietà personalizzate nell'estensione del contenuto Linux 1.1.1

La seguente tabella mostra le proprietà personalizzate aggiornate nell'estensione del contenuto IBM Security QRadar Linux 1.1.1 .

Tabella 4. Proprietà personalizzate in Linux 1.1.1 content extension
Nome	Ottimizzato	Gruppo di cattura	Regex
Directory file	Sì	1	nome=" (. *?) \/ "
ID processo	Sì	1	\bpid = (\d +) \bpid = (\d +) \ [ (\d +) \] \:\s \bpid = (\d +) pid = (\d +) pid = (\d +)

La descrizione per la proprietà Directory file è stata aggiornata.

L'ID espressione per Nome file è stato aggiornato per evitare problemi con un altro pacchetto di contenuto.

Proprietà personalizzate nell'estensione del contenuto Linux 1.1.0

La seguente tabella mostra le proprietà personalizzate nell'estensione del contenuto IBM Security QRadar Linux 1.1.0 .

Tabella 5. Proprietà personalizzate in Linux 1.1.0 content extension
Nome	Ottimizzato	Gruppo di cattura	Regex
Architettura	Sì	1	arch = ([0-9a-fA-F] +)
ID controllo	Sì	1	auid = (\d +)
Tipo di chiamata	Sì	1	syscall = (\d +)
Comando	Sì	1	crontab \ [ \d + \]: \s + $. *? $ \s + ([ ^ \s] +)
Argomenti del comando	Sì	1	argc= \d + ((a\d + =" [ ^ ";] +?"?) +)
Directory file codificato	Sì	1	item = \d + name = ((?: [A-F0-9]{2}) * (?=2F(?: [A-F0-9]{2}) * \s)) item = \ d + name = ([A-F0-9] +)
Nome file codificato	Sì	1	item = \d + name = (?: (?: [A-F0-9]{2})+2F) * ([A-F0-9] +)
Codice di errore	Sì	1	exit = ([ ^ \s] +)
Directory file	Sì	1	item = \d + nome = \ " ([ ^ \s \"] +) (?= \/) exe = \ " ([ \/ \w] +) (?= \/) cwd=" (. ?) " nome="(. ?) " \s
Estensione file	Sì	1	item = \d + name=" (?: [ ^ \"] + \ /) . ? \. ([ ^ \.] ? (?:\. [ ^ \.] ?){0,1}) "
Autorizzazioni file	Sì	1	modalità = (\d +)
Nome file	Sì	1	exe = \ ". ? \/ ([ ^ \/] ?) \" item = \d + name=" (?: [ ^ \") + \/) * ([ ^ \"] +) "
Nome gruppo	Sì	1	gruppo = ([ ^,] +)
Directory home	N	1	PWD = (. *?) \s;
ID macchina	Sì	1	^ (?:\S + \s +){3}(\S +) \bnode = ([ ^ \s] +)
ID processo parent	N	1	ppid = (\d +)
Riga comandi processo	Sì	1	CMD \ ((. ?) \) COMANDO = (. )
ID processo	N	1	pid = (\d +) \bpid = (\d +)
Nome processo	Sì	1	comm=" (\w +) "
Numero record	Sì	1	msg=audit$. *?: (\d +) $
ID terminale	N	1	tty=pts (\d +)
UrlHost	Sì	1	(?: (? :http\|ftp\|tcp\|ssl\|https): \/\/) (. *?) (?=$\| \s \| \\ \| \" \| \/ \| \: \| \\|)

Le seguenti proprietà del cliente vengono rimosse nell'estensione del contenuto IBM Security QRadar Linux 1.1.0 :

Nome del computer
Directory processo

_{(Torna all'inizio)}

Proprietà personalizzate nell'estensione del contenuto Linux 1.0.1

La seguente tabella mostra le proprietà personalizzate nell'estensione del contenuto IBM Security QRadar Linux 1.0.1 .

Tabella 6. Proprietà personalizzate in Linux 1.0.1 estensione contenuto
Nome	Ottimizzato	Gruppo di cattura	Regex
Nome del computer	N	1	\bnode = ([ ^ \s] +)
Directory file	Sì	1	exe = \ " ([ \/ \w] +) (?= \/) PWD = ([ \/ \w] +) (?= \/) script = ([ \/ \w] +) (?= \/) item = \d + name=" ([ ^ \"] *) \/ [ ^ \\] +? "
Nome file	Sì	1	exe = \ ". ? \/ ([ ^ \/] ?) \" PWD=. * \/ ([ ^ \/] ?); script =. \/ ([ ^,] *), \saccount elemento = \d + nome=" [ ^ \"] + \/ ([ ^ \"] +) "
ID gruppo	Sì	1	(?i) gid = (\d +) uid \/euid \/gid \/egid\s = \s\ + \ /\d + \ / (\d +)
Riga comandi processo	Sì	1	ocomm=" ([ ^ \"] +)
ID processo	N	1	\bpid = (\d +)
Nome processo	N	1	exe=". *\/ ([ ^ "] +)" INIZIO \:\s ([ ^ \s] +) ESCI \:\s ([ ^ \s] +) exe = \ "[ ^ \"]] + \/ ([ ^"] +)
Percorso del processo	N	1	exe=" ([ ^ "] +)"
ID utente	Sì	1	(?i) uid = (\d +)

_{(Torna all'inizio)}

Proprietà personalizzate nell'estensione del contenuto Linux 1.0.0

La seguente tabella mostra le proprietà personalizzate nell'estensione del contenuto IBM Security QRadar Linux 1.0.0 .

Tabella 7. Proprietà personalizzate in Linux 1.0.0 content extension
Nome	Ottimizzato	Gruppo di cattura	Regex
Applicazione	N	1	(\w +) \ [ \d + \] \:\s
Comando	N	1	COMANDO = ([ ^ \s] +) esecuzione \s ([ ^ \s] +) \scomando
Nome del computer	N	1	nodo = [ ^ \s] +)
ID gruppo effettivo	N	1	uid \/euid \/gid \/egid\s = \s\d + \ /\d + \d + \ /\d + \ / (\d +)
ID utente effettivo	N	1	euid = (\d +) uid \/euid \/gid \/egid\s = \s\d + \ / (\d +)
Directory file	Sì Sì	1 1	exe = \ " ([ \/ \w] +) (?= \/) PWD = ([ \/ \w] +) (?= \/) script = ([ \/ \w] +) (?= \/)
Nome file	Sì Sì	1 1	exe = \ ". ? \/ ([ ^ \/] ?) \" PWD=. * \/ ([ ^ \/] ?); script =. \/ ([ ^,] *), \saccount
Nome gruppo	N	1	gruppo = ([ ^,] +)
GroupID	N	1	gid = (\d +) uid \/euid \/gid \/egid\s = \s\ + \ /\d + \ / (\d +)
Directory home	N	1	home = ([ ^,] +)
Direzione processo	N	1	direzione = [ ^ \s] +)
ID processo	N	1	pid = (\d +) \ [ (\d +) \] \:\s
Nome processo	N	1	exe=". *\/ ([ ^ "] +)" INIZIO \:\s ([ ^ \s] +) ESCI \:\s ([ ^ \s] +)
Shell	N	1	shell = ([ ^,] +)
ID utente	N	1	uid \/euid \/gid \/egid\s = \s (\d +) \/ uid = (\d +)

_{(Torna all'inizio)}