Microsoft Windows

IBM Security QRadar Custom Properties for Microsoft Windows Content Extension を使用して、QRadar 検索とレポートを、ログ ソースからの特定のイベント データを正規化することで拡張します。 重要なデータをルール、検索、およびレポートで見やすくすることもできます。

Windows Property Content Extension は、 WinCollect タ ブ区切 り イ ベン ト 形式のみの解析に対応 し てい ます。

警告警告 QRadarWinCollect、タブ区切りのイベントとXMLフォーマットのイベントの両方を受信し、XMLデータの解析を追加する場合は、次のようにしてください:
  • 正規表現 (regex) を使用して、XML 形式のイベントを解析します。
  • 同じプロパティ内で正規表現とXML表現を混在させることは避けてください。混在させると、解析のパフォーマンスが低下したり、予測不可能な動作を引き起こしたりする可能性があるからです。

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張のベースとなるイベント ID と名前のリストについては、 ここを参照してください。

注: Cisco AMP V.1.0.0 から Parent Filename カスタムプロパティが存在する場合、このコンテンツ拡張機能はインストールされません。 このコンテンツ拡張機能をインストールする前に、 親ファイル名を削除してください。
重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連するDSMの最新バージョンを以下からダウンロードしてください。 IBM® Fix Central ( https://www.ibm.com/support/fixcentral ) からダウンロードしてください。

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張

IBM Security QRadar Custom Properties for Content Extension Microsoft Windows 1.2.9

ファイル拡張子プロパティに関する以下の正規表現が更新されました:

正規表現式 ID 正規表現
028e41cb-74f7-41d3-b5bd-378c5a1fb01d TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Hashes
27b28d8b-2876-4e1d-8126-4b643dfe6881 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
29f5ac46-341e-49b6-8fc3-513b0cc26c23 ImageLoaded:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+FileVersion
32ac2a10-1a1b-4f40-8296-9275ce9627e0 Relative Target Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
793f755e-dc59-466c-bf41-67d9715b9be2 Relative Target Name:\s+[^\\]+(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Access Request Information
9662fc2c-61e5-48cf-9d00-412d7534a0c8 TargetFilename:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+CreationUtcTime
ac769579-8e07-4755-aab0-0bc6489c7325 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
aec96349-bf39-40a6-b549-373a835f7fbd file:\/\/\\?(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\sowned\sby
d9f7021c-7b5f-46ff-8bdf-c7d277052955 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 Object Name:\s+\w\:(?:\\[a-zA-Z_\-\s0-9\.]+)+\.([^\s\\]+?)\s+Handle

IBM Security QRadar カスタム プロパティ for Microsoft Windows コンテンツ拡張 1.2.8

次の表は、 Microsoft Windows コンテンツ拡張 1.2.8 の IBM Security QRadar カスタム プロパティーを示しています。

表 1. IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.8 の新規および更新されたカスタム イベント プロパティー式
旧物件名称 新物件名
EventID イベント ID
ObjectType オブジェクト・タイプ
GroupID グループ ID
ObjectName オブジェクト名
コンピューター名 マシン ID (Machine Identifier)
ターゲット・ユーザー名 ターゲット・ユーザー名
ユーザー・ワークステーション (User Workstations) マシン ID (Machine Identifier)
プロセス・コマンド行 コマンド
TaskName タスク名 (Task Name)
SharePath 共有パス (Share Path)
イニシエーター・ユーザー名 (Initiator User Name) イニシエーター・ユーザー名 (Initiator Username)
マシン ID マシン ID (Machine Identifier)
プロセス ID プロセス ID
プロセス GUID (Process Guid) プロセス GUID (Process GUID)
親プロセスの GUID (Parent Process Guid) 親プロセスの GUID (Parent Process GUID)
UrlHost URL ホスト (URL Host)
イメージ プロセス・パス
StartAddress 開始アドレス (Start Address)
PipeName パイプ名 (Pipe Name)
宛先ホスト名 宛先ホスト名
ServiceFileName サービス・ファイル名 (Service Filename)
ParentCommandLine 親コマンド (Parent Command)

IBM セキュリティ QRadar セキュリティ Microsoft Windows コンテンツ拡張のカスタムプロパティ 1.2.7

Key Length カスタム プロパティは、IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.7 の新機能です。 このカスタムプロパティは、DSMペイロードからのKey Lengthのデフォルトのカスタム抽出を設定する。

表 2. New and updated Custom Event Properties Expressions in IBM セキュリティ QRadar セキュリティ Custom Properties for Microsoft Windows Content Extension 1.2.7
名前 新規または更新 キャプチャー・グループ 正規表現 説明
エンジンのバージョン 新規 1 .*\bEngineVersion=([\.0-9]*)\b.* 新しいカスタムイベントプロパティ。
ホスト・バージョン 新規 1 .*\bHostVersion=([\.0-9]*)\b.* 新しいカスタムイベントプロパティ。
SIDの歴史 新規 1 .*\s+SID History:\s+(S-\S+)\b.* 新しいカスタムイベントプロパティ。
委任 新規 1 AllowedToDelegateTo:\s*(.*\S)\s+Old UAC Value: 新しいカスタムイベントプロパティ。
LDAP 表示名 新規 1 LDAP Display Name:\s*(.*\S)\s+Syntax \(OID\): 新しいカスタムイベントプロパティ。
オブジェクト・クラス 新規 1 Object.*Class:\s*(\S*) 新しいカスタムイベントプロパティ。
レジストリー・キー 更新 1 TargetObject:\s+(.*?)\\[^\\]+(?:\s+[^:]+|$) 正規表現を更新しました。
レジストリー値名 更新 1 TargetObject:\s+.*?\\([^\\]+?)(?:\s+[^:]+|$) 正規表現を更新しました。
レジストリー値データ 更新 1 Details:\s+(.*?)(?:\s+User:\s+|$ 正規表現を更新しました。
パイプ名 (Pipe Name) 更新    

カテゴリーを何でもに変更。

プロパティ名をPipeNameからパイプ名に変更しました。

鍵の長さ 更新     英数字から数字に変更。
イベント ID 更新     プロパティ名をEventIDからイベントIDに変更しました。
オブジェクト・タイプ 更新     プロパティ名をObjectTypeからオブジェクトタイプに変更しました。
グループ ID 更新     プロパティ名をGroupIDからグループIDに変更しました。
プロジェクト名 更新     プロパティ名をObjectNameからオブジェクト名に変更しました。
ターゲット・ユーザー名 更新     プロパティ名をターゲットユーザー名からターゲットユーザー名に変更しました。
コマンド 更新     プロパティ名をプロセス CommandLineからコマンドに変更しました。
タスク名 (Task Name) 更新     プロパティ名をTaskNameからタスク名に変更しました。
共有パス (Share Path) 更新     プロパティ名をSharePathから共有パスに変更しました。
イニシエーター・ユーザー名 (Initiator Username) 更新     プロパティ名をイニシエータ・ユーザー名からイニシエータ・ユーザー名に変更しました。
マシン ID (Machine Identifier) 更新    

プロパティ名をマシンIDからマシン識別子に変更しました。

プロパティ名をコンピュータ名からマシン識別子に変更しました。

プロパティ名をユーザー・ワークステーションからマシン識別子に変更しました。

プロセス ID 更新     プロパティ名をプロセスIDからプロセスIDに変更しました。
プロセス GUID (Process GUID) 更新     プロパティ名をプロセスGUIDからプロセスGUIDに変更しました。
親プロセスの GUID (Parent Process GUID) 更新     プロパティ名を親プロセスGUIDから親プロセスGUIDに変更しました。
URL ホスト (URL Host) 更新     プロパティ名を UrlHost から URL に変更。
プロセス・パス 更新     プロパティ名をイメージからプロセスパスに変更しました。
開始アドレス (Start Address) 更新     プロパティ名をStartAddressから開始アドレスに変更しました。
宛先ホスト名 更新     プロパティ名を宛先ホスト名から宛先ホスト名に変更しました。
サービス・ファイル名 (Service Filename) 更新     プロパティ名をServiceFileNameからサービスファイル名に変更しました。
親コマンド (Parent Command) 更新     プロパティ名をParentCommandLineから親コマンドに変更しました。

IBM セキュリティ QRadar Microsoft Windows コンテンツ拡張 1.2.6 のカスタム プロパティ

Key Length カスタム プロパティは、IBM Security QRadar Custom Properties for Microsoft Windows Content Extension 1.2.6 の新機能です。 このカスタムプロパティは、DSMペイロードからのKey Lengthのデフォルトのカスタム抽出を設定する。

表 3. IBM セキュリティ QRadar セキュリティ の新しいカスタム イベント プロパティ式 Microsoft Windows コンテンツ拡張 1.2.6 のカスタム プロパティ
名前 カスタムプロパティID キャプチャー・グループ 正規表現
鍵の長さ c732c6c4-3e1d-4116-88c5-b2df0782f711 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.5

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.5で更新された正規表現を示しています。

表 4. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張の更新された正規表現式 1.2.5
名前 正規表現式 ID 最適化済み キャプチャー・グループ 正規表現
ファイル aec96349-bf39-40a6-b549-373a835f7fbd はい 1 file:.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\sowned\sby
イメージがロードされました 29f5ac46-341e-49b6-8fc3-513b0cc26c23 はい 1 ImageLoaded:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
オブジェクト名 27b28d8b-2876-4e1d-8126-4b643dfe6881 はい 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
4a691bc1-d1a4-4356-8027-2fa93a55c0e5 はい 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
ac769579-8e07-4755-aab0-0bc6489c7325 はい 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
d9f7021c-7b5f-46ff-8bdf-c7d277052955 はい 1 Object Name:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
db21bfe3-3ee3-49d2-9160-c28e204649a7 はい 1 Object Name:\s+.*?\.(?![0-9]{1,2}\.)([^\\]*?)\s+Handle
相対ターゲット名 32ac2a10-1a1b-4f40-8296-9275ce9627e0 はい 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
793f755e-dc59-466c-bf41-67d9715b9be2 はい 1 Relative Target Name:\s+[^.\s]+\.(?!.*\.[0-9]{1,2}\.)([^\\]*?)\s+Access Request Information
ターゲット・ファイル名 028e41cb-74f7-41d3-b5bd-378c5a1fb01d はい 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
9662fc2c-61e5-48cf-9d00-412d7534a0c8 はい 1 TargetFilename:\s+.[^.\s]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+CreationUtcTime
e4349d47-a2dd-46c7-a028-1f1457560a3b はい 1 TargetFilename:\s+.*?\.([^\\]*?)\s+Hashes

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.4

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.4で新しく導入されたカスタム・イベント・プロパティーを示しています。

表 5. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.4 の新しいカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
コンシューマー宛先 はい 1 Destination:\s+"(.*?)"$
相対ターゲット名 いいえ 1 Relative Target Name[:\s\\=]*\s+([^&]*?)\s+Access

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.4で新しい式が追加されたカスタム・イベント・プロパティーを示しています。

表 6. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.4 の新しい式を含むカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
プロセス名 はい 1 SourceImage\:\s(?:.*\\)?([\w\.\-\d]+)\sTargetProcessG
プロセス・パス はい 1 SourceImage\:\s+(.*?)\s+TargetProcessGUID

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.3

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.3の新規カスタム・イベント・プロパティーを示しています。

表 7. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.3 の新しいカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
属性の新しい値 いいえ 1 Value: ([^\s]*?)(?:\s|$)
認証パッケージ はい 1 Authentication Package:\s+(.*?)\s+Transited
開始済み はい 1 Initiated:\s+(.*?)\s+SourceIsIpv6
ログオン・プロセス はい 1 Logon Process:\s+(.*?)\s+Authentication
ターゲット・サーバー名 いいえ 1 Target Server Name:\s(.*?)\sAdditional

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.3で更新されたカスタム・イベント・プロパティーを示しています。

表 8. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.3 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
PipeName はい 1 PipeName\:\s(.*)\sImage

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.2

Process CommandLine カスタム・プロパティーが、重複する正規表現式を削除する更新を受け取りました。

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.1

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.1に新しい式があるカスタム・イベント・プロパティーを示しています。

表 9. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.1 の新しいカスタム・イベント・プロパティー式
名前 最適化済み キャプチャー・グループ 正規表現
ユーザー・ドメイン はい 1 Subject.*?Domain[\:\\\=\s]+(.*?)\s+(?:Logon ID)

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.0

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.0で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 10. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.0 の新規および更新されたカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
ファイル拡張子 はい 1 ImageLoaded:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+FileVersion
ファイル名 はい 1 ImageLoaded:\s+.*?([^\\]*?)\s+FileVersion
Integrity Level はい 1 IntegrityLevel:\s(\w+)
ParentCommandLine はい 1 ParentCommandLine:\s(.*)
プロセス ID はい 1 ProcessId:\s+(\d+)
プロセス名 はい 1

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Image:.*?\\([^\\]*?)\sTargetFilename

Image:.*?\\([^\\]*?)\s(?:FileVersion|CommandLine):

署名済み はい 1 Signed:\s(true|false)

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.8

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.8の新規カスタム・イベント・プロパティーを示しています。

表 11. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.8 の新しいカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
Encoded Argument はい 1

(?i)Process Command Line[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*Token Elevation Type

(?i)CommandLine:\spowershell[:\s]*[a-z\.\s]+[\.\s\-][ncodema^]*[\s^]+(\S+)\s*CurrentDirectory

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.7

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.7で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 12. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.7 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
サービス名 はい 1 (?i)Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)
ServiceFileName はい 1 (?i)Service\sFile\sName\:\s*(.*)\sService\sType

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.6

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.6で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 13. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.6 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
プロセス名 はい 1

Image:.*\\(.*?)\sTargetFilename

終了したプロセス名 はい 1

Process Command Line[:\s\\=]+taskkill\s+\/im\s(.*?)\s\/f

Process Command Line[:\s\\=]+(?:net|net1)\s+stop\s(.*?)\s\/y

ターゲット・ファイル・ディレクトリー いいえ 1 cs-bytes[=\s\t](\d+)

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.5

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.5で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 14. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.5 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
宛先ホスト名 はい 1 DestinationHostname:\s+(.+?)\s+
EventID はい 1

\d{2}\s\d{2}[:\s]\d{2}[:\s]\d{2}\s+\d{4}\s+(\d+)

^<\d+>[a-zA-Z]{3}[\s]\d{2}[\s]\d{2}:\d{2}:\d{2}[\s][a-zA-Z0-9\.]+[\s]LEEF:[0-9\.a-zA-Z\|]+\|(\d+)

ファイル名 はい 1 TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime
プロセス GUID (Process Guid) いいえ 1 ProcessGuid: \{(.*?)\}
プロセス ID いいえ 1 ProcessId:\s+(\d+)
プロセス名 はい 1

Image:\s+.*\\(.*)

Image:.*\\(.*?)\sTargetFilename

ターゲット・ファイル・ディレクトリー はい 1 TargetFilename:\s+(.*?)\s+CreationUtcTime:

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.4

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.4で新しく導入された、または更新されたカスタム・イベント・プロパティーを示しています。

表 15. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.4 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
PipeName はい 1 PipeName\:\s\\(.*)\sImage

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.3

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.3で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 16. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.3 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
MD5 ハッシュ はい 1

MD5=([^\,]+)

MD5=(\w+)

プロセス・コマンド行 はい 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type)
プロセス名 はい 1 Process Name[:\s\\=]+(?:.*\\)?(.*?)\s+(?:Network Information|\s|&&)
SHA1 ハッシュ はい 1 SHA1=(\w+)

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.2

非表示の実行可能な拡張に対応して、ファイルのバージョン管理を除外するために、すべてのファイル拡張子の正規表現の値が更新されています。

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.2で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 17. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.2 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
ファイル・ディレクトリー はい 1

ImageLoaded:\s+(.*)\\.*?\s+FileVersion

TargetFilename:\s+(.*)\\.*?\s+

ファイル拡張子 はい 1

OriginalFileName:\s+.*?\.(?![0-9]{1,2}\.)(.*?)\s+Hashes

TargetFilename:\s+.*?\.?[^\\.]+\.(?![0-9]{1,2}\.)([^\\]*?)\s+Hashes

ファイル名 はい 1 TargetFilename:\s?.*\\(.*?)\s+Hashes
IMP ハッシュ (IMP Hash) はい 1 IMPHASH=(\S+)
MD5 ハッシュ いいえ 1 MD5=([^\,]+)
ObjectType はい 1 Object Type[:\s\\=]*([^\s&amp;]*)
プロセス名 はい 1

Image:.*\\(.*?)\sTargetFilename

Image:\s+.*\\(.*?)\s

SHA1 ハッシュ いいえ 1 SHA1=(\w+)
SHA256 ハッシュ はい 1 SHA256=([^\,]+)
開始アドレス (Start Address) はい 1 StartAddress:\s(.*?)\s

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.1

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.1で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 18. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.1 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
レコード番号 はい 1 RecordNumber=(\d*)

( 上に戻る )

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.0

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.0で更新されたカスタム・イベント・プロパティーを示しています。

表 19. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.1.0 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
ファイル・ディレクトリー はい 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)

TargetFilename:\s+(.*)\\.*?\s+

ファイル拡張子 はい 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:.*\\.*?\.((?:[^\.]*?\.){0,1}[^\.]*?)\s+CreationUtcTime

ファイル名 はい 1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

OriginalFileName:\s+(.*?)\s+Hashes

TargetFilename:\s?.*\\(.*?)\s+CreationUtcTime

ホスト名 はい 1 Host Name = ([^\s]+)
イメージ はい 1

Image:\s*(.+?)\s+FileVersion:

Image: (.*?)\s+ImageLoaded

Image:\s*(.+?)\s+TargetFilename:

IMP ハッシュ (IMP Hash) はい 1

IMPHASH=([^\,]+)

IMPHASH=(\w+)

マシン ID はい 1 Computer=([^\s]+)
MD5 ハッシュ はい 1

MD5=([^\,]+)

MD5=(\w+)

メッセージ はい 1 subject(?:[^,]*?,){11}([^,]*?)\,
親プロセスの GUID (Parent Process Guid) はい 1 ParentProcessGuid: \{(.*?)\}
親プロセス ID はい 1 ParentProcessId:\s+(\d+)
親プロセスの名前 はい 1 ParentImage:\s?.*\\([^\s]+)\sParentCommandLine
親プロセス・パス はい 1 ParentImage:\s*(.+?)\s+ParentCommandLine:
プロセス・コマンド行 はい 1

CommandLine:\s*(.+?)\s+CurrentDirectory

Scriptblock text.*?:\s+(.*?)\s+ScriptBlock ID

プロセス ID はい 1 ProcessId:\s+(\d+)
プロセス名 はい 1

CommandLine:&#xa5;s+"[^&#xa5;"]*&#xa5;&#xa5;([^&#xa5;"]+)"&#xa5;s+Current

Image:\s+.*?\\([^\\]*?)\s+.*$

Image:.*\\(.*?)\sFileVersion

Image:.*\\(.*?)\s+ImageLoaded

Image:.*\\(.*?)\sTargetObject

Image:.*\\(.*?)\sUser

Process Name: \s?.*\\([^\s]+)

プロセス・パス はい 1

Image:\s+(.*)

Image:\s+(.*?)\s+FileVersion:

レジストリー・キー はい 1 TargetObject:\s+(.*)\\.*\s+Details:
レジストリー値データ はい 1 Details:\s+(.*)
ルール名 はい 1 RuleName[:\s\\=]+([^\s&]+)\s+EventType
SHA256 ハッシュ はい 1

SHA256=(\w+)

SHA256=([^\,]+)

ターゲット・ユーザー名 はい 1 Account Name:\s+.*?Account Name:\s+([^\s]*)
トークンの昇格タイプ はい 1 Token Elevation Type: (%%\d{4})
UrlHost はい 1

(?:(?:http|ftp|tcp|ssl|https):\/\/)(.*?)(?=$|\s|\\|\"|\/|\:|\|)

QueryName:\s(.*)\sQueryStatus

( 上に戻る )

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.5

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.5で更新されたカスタム・イベント・プロパティーを示しています。

表 20. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.5 のカスタム・イベント・プロパティーの更新
名前 最適化済み キャプチャー・グループ 正規表現
GroupID はい 1 Group ID[:\s\\=]*(\d+)
親プロセスの名前 はい

はい

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line

親プロセス・パス はい

はい

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:

( 上に戻る )

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.4

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.4で新しく導入された、または更新されたカスタム・イベント・プロパティーを示します。

表 21. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.4 の新規または更新されたカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
アクセス・マスク はい 1

Access Mask[:\s\\=]*\s+(0[^\s&]+)

注: この正規表現の System.Information 式は、多数のイベント一致を返し、パフォーマンスに影響を与える可能性があるため、デフォルトでは無効になっています。
アクセス数 はい

はい

1

1

Accesses[:\s\\=]*(.*?)\s+(?:Access (?:Check Results|Mask|Reasons)|Properties|Privileges|&&|$)

Operation Type[:\s\\=]*(.*?)(?:\s+Process Information|&&)

注: この正規表現の System.Information 式は、多数のイベント一致を返し、パフォーマンスに影響を与える可能性があるため、デフォルトでは無効になっています。
アカウント・セキュリティー ID いいえ

いいえ

1

1

User ID[:\s\\=]*(.*?)\s+(?:Service\s|&&)

Subject:\s+?Security ID:\s+(.*?)\s+(?:Subject:|Account Name)

注: Subject:\s+ ... 正規表現は、多数のイベント一致を返し、パフォーマンスに影響を与える可能性があるため、デフォルトでは無効になっています。
コンピューター名 いいえ

いいえ

いいえ

いいえ

いいえ

1

1

1

1

1

Workstation Name[:\s\\=]+([^\s&]+)\s+Source

Source Workstation[:\s\\=]+([^\s&]+)\s+Error

Caller Computer Name[:\s\\=]+([^\s&]+)(?:\s\s|$)

from the computer ([^\s]+)

エラー・コード はい

はい

はい

はい

はい

はい

1

1

1

1

1

1

Error Code[:\\\s=]*([^\s&]+)

error status[:\\\s=]+([^\s&\.]+)

Result Code[:\\\s=]*([^\s&]+)

Error value[:\\\s=]+([^\s:&]+)

Failure Code[:\\\s=]*([^\s&]+)

Status[:\\\s=]*([^\s&]+)

EventID はい

はい

はい

1

1

1

(?:EventID|EventIDCode|externalId)[:\s\\=]+(\d+)

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

拡張エラー・コード はい 1 Sub[\s,_]*Status[:\\\s=]+([^\s&]+)
ファイル名 はい

はい

はい

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\([^\\]*?)\s+(?:Handle ID|&&)

Relative Target Name:\s.*\\(.*?)\s+Access Request Information:

file:.*\\(.*?)\sowned\sby

ファイル・ディレクトリー はい 1

file:(.*?)\\[^\\]*?\s+owned\sby

Relative Target Name:\s+(.*)\\.*?\s+Access Request Information:

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+(.*?)\\[^\\]*?\s+(?:Handle ID|&&)

ファイル拡張子 はい

はい

はい

1

1

1

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\=]+.*?\\.*?\.([^\\\.]*?)\s+(?:Handle ID|&&)

Relative Target Name[:\s]*.*\\[^\.]*?\.(.*?)\s+Access Request Information:

file:.*\\.*?\.(.*?)\sowned\sby

ファイル・パス いいえ 1

file:(.*?)\sowned\sby

Object Type[:\s\\=]+File[\s\t]+Object Name[:\s\\=]+(.*?)\s+(?:Handle ID| &&)

Relative Target Name:\s+(.*?)\s+Access Request Information:

「グループ」ドメイン いいえ

いいえ

いいえ

1

1

1

(?:Group Domain|Target Domain)[:=\s\\]+([^\s]+)

Group[\s\:]+.*?Account Domain[\s\:\\=]+([^\s]+)

(?:Group Domain|New Domain)[:=\s\\]+([^\s]+)

Group Name はい

はい

はい

1

1

1

(?:Group Name|New Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|New Domain|Group:|&&)

(?:Group Name|Target Account Name)[:=\s\\]+(.*?)\s+(?:Group Domain|Target Domain|Group:|&&)

Group[\s\:]+.*?Account Name[\s\:\\=]+(.*?)\s+(?:Account Domain|&&)

グループ・セキュリティー ID いいえ

いいえ

いいえ

いいえ

1

1

1

1

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|Account Name|&&)

Group[:\s]*Security ID[:=\s\\]+(.*?)\s+(?:Group Name|Group:|&&)

Target Account ID[:=\s\\]+(.*?)\s+(?:Caller User Name|&&)

New Account ID[:\s\\=]+(.*?)(?:\s+Caller User Name|&&)

GroupID いいえ 1 Group ID[:\s\\=]*(\d+)
ホーム・ディレクトリー いいえ 1 Home Directory[:\s]*(.*?)\s+Home Drive:
イニシエーター・ユーザー名 (Initiator User Name) はい 1 Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)
ログオン・タイプ はい 1 Logon Type[:\s\\=]+(\d+)
メッセージ いいえ 1 Message=(.+)
ObjectName はい

はい

1

1

Object Name[:\s\\=]+(.*?)\s+(?:Object Value Name|&&)

Object Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)

注: この正規表現の System.Information 式の Success Audit イベントは、多数のイベント一致を返し、パフォーマンスに影響を与える可能性があるため、デフォルトで無効になっています。
ObjectType いいえ 1 Object Type[:\s\\=]*([^\s&]*)
親プロセスの名前 いいえ

いいえ

1

1

Process Name.*\\(.*?)\s+Target Process

Creator Process Name[:\s]+(?:.*\\)?(.*?)\s+Process Command Line

親プロセス・パス いいえ

いいえ

1

1

Process Name[:\s\\=]+(.*?)\s+(?:Target Process|&&)

Creator Process Name[:\s]+(.*?)\s+Process Command Line:

プロセス・コマンド行 はい 1 Process Command Line[:\s\\=]+(.*?)\s*(?:Token Elevation Type|\t|\s\s|&&)
プロセス名 はい

はい

はい

1

1

1

Process Name[:\s\\=]+(?:.*\\)+(.*?)\s+(?:Network Information|\s|&&)

New Process Name[:\s\\=]+.*?\\([^\\]*?)\s+(?:Token Elevation Type:|&&)

Target Process Name.*\\(.*?)\s+(?:New Token Information|&&)

注: この正規表現の System.Information 式は、多数のイベント一致を返し、パフォーマンスに影響を与える可能性があるため、デフォルトでは無効になっています。
プロセス・パス いいえ

いいえ

いいえ

1

1

1

New Process Name[:\s\\=]*(.*?)\s+(?:Token Elevation Type:|&&)

Caller Process Name[:\s\\=]+(.*?)\s+(?:Network Information|&&)

レコード番号 いいえ 1 RecordNumber=(\d*)
レジストリー・キー はい

はい

はい

はい

1

1

1

1

Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Object Value Name|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\USER\\.*?\\.*?(\\.*?)\s+(?:Handle ID|&&)

Object Type[:\s\\=]+Key.*?Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Handle ID|&&)

Object Name[:\s\\=]+\\REGISTRY\\MACHINE(\\.*?)\s+(?:Object Value Name|&&)

レジストリー値データ はい 1 New Value[:\\=]\s+(.+)
レジストリー値名 はい 1 Object Value Name[:\s\\=]+(.*?)\s+(?:Handle ID|&&)
SAM アカウント名 いいえ 1 S(?:AM|am) Account Name[:\s]*(.*?)\s+Display Name:
有効範囲 いいえ 1 Scope:\s(.*?)\s+(\d+|$)
サービス名 はい

はい

はい

1

1

1

Service Name[:\s\\=]*(.*?)\s+(?:Service ID:|&&)

\\SYSTEM\\ControlSet\d*\\Services\\(.*?)\s+Object Value Name

Service Name[\:\s\=\\]*(.*?)\s+(?:Service File Name:|&&)

共有名 (Share Name) はい 1 Share Name[:\s].*?\\([^\\]*?)\s+Share Path:
共有パス (Share Path) いいえ

いいえ

1

1

Share Path[\:\s]*(.*)

Share Path[\:\s]*(.*?)\s+Access Request Information:

ターゲット・アカウント・セキュリティー ID いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

1

2

1

1

1

1

1

1

1

1

1

New Logon.*?Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

(Assigned\sTo|Removed\sFrom):\s+(.*?)\s+?(Assigned|Removed)\sBy:

New Token Information[:\=\s\\]+Security ID[:\=\s\\]+(.*?)\s+(?:Account Name|&&|\s)

Target Subject[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Member[\:\s]+(?:Security )?ID[\:\s\\=]+(.*?)\s+(?:(?:Target\s)?Account Name|&&)

Target Account ID[:\s\\=]+(.*?)\s+(?:Caller Machine Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Account Domain|Caller User Name|&&)

Target Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

New Account.*?ID[:\s\\=]+(.*?)\s+(?:Account Name|Caller User Name|&&)

Account That Was Locked Out[:\s]*Security ID[:\s\\=]+(.*?)\s+(?:Account Name|&&)

Account For Which Logon Failed.*?Security ID[\:\\\=\s]+(.*?)\s+(?:Account Name|&&)

ターゲット・コンピューター・ドメイン いいえ

いいえ

いいえ

1

1

1

New Computer Account:.*Account Domain:\s(.*?)\s+Attributes:

Computer Account That Was Changed:.*Account Domain:\s(.*?)\s+Changed Attributes:

Target Computer:.*Account Domain:\s(.*?)\s+Additional Information:

ターゲット・コンピューターの名前 いいえ

いいえ

いいえ

1

1

1

Target Computer:.*Account Name[:\s]*(.*?)\s+Account Domain:

Computer Account That Was Changed:.*Account Name[:\s]*(.*?)\s+Account Domain:

New Computer Account:.*Account Name[:\s]*(.*?)\s+Account Domain:

ターゲット・ユーザー・ドメイン いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

New Account.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Domain[\:\\\=\s]+([^\s]+)

Target Account.*?Account Domain[\:\\\=\s]+([^\s]+)

New Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[\:\\\=\s]+([^\s]+)

Target.*?Domain[:\s\\=]+([^\s]+)

Target Account ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Caller

Target Domain[\:\\\=\s]+([^\s]+)

Member[\:\s]+(?:Security )?ID[\:\s]+([^\s\\]*?)\\.*?\s+(?:Target\s)?Account Name

New Logon:.*?Account Domain[\:\\\=\s]+([^\s]+)

Account That Was Locked Out[\s\:]*Security ID[\:\\\=\s]+([^\s\\]+)(?:\\.*?)\s+Account Name

Account For Which Logon Failed.*?Account Domain[\:\\\=\s]+([^\s]+)

New Token Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Target Subject.*?Account Domain[\:\\\=\s]+([^\s]+)

dntdom=([^\s]+)

ターゲット・ユーザー名 はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

はい

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

1

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:New Right:|Removed Right:|&&|\s)

Member[\:\s]+(?:Security )?ID[\:\s]+(?:[^\s\\]*?)\\(.*?)\s+(?:Target\s)?Account Name

Whose Credentials Were Used:.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)

Account That Was Locked Out.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Additional Information|&&)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Target Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|Target Domain:|&&)

Account For Which Logon Failed.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

Target Account.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&|\s)

Target Account Name[\:\\\=\s]+(.*?)\s+(?:Target Account ID:|&&)

duser=([^&]*?)\s+duid

New Account Name[:\s]*(.*?)\s*(?:Additional Information:|&&)

Target Subject.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain|&&)

New Account.*?Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|New Domain:|&&)

New Token Information:.*?Account Name[\:\\\=\s]+(.*?)\s+(?:Account Domain:|&&)

Target User Name[:\s\\=]*(.*?)\s*(?:Target Domain:|&&)

New Logon.*?Name:[\:\\\=\s]+(.*?)\s+(?:Account Domain|Target Domain:|&&)

TaskName いいえ

いいえ

1

1

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task Content:|&&)

Task Name[\:\s\\=]*\\(.*?)\s+(?:Task New Content:|&&)

チケット暗号化タイプ はい 1 Ticket Encryption Type[\s:\\=]*(0[xX][0-9a-fA-F]+)
ユーザー・ドメイン いいえ

いいえ

いいえ

いいえ

いいえ

いいえ

1

1

1

1

1

1

Account Information:.*?Account Domain[\:\\\=\s]+([^\s]+)

Supplied Realm Name[:\s]+([^\s]+)

Caller Domain:\s+([^\s]+)

Subject.*?Domain[\:\\\=\s]{2,}([^\s]+)

User domain:\s+([^\s]+)

Primary Domain[:\s\\=]*([^\s]+)

ユーザー・プリンシパル名 いいえ 1 User Principal Name[:\s]*(.*?)\s+Home Directory:
ユーザー権限 いいえ 1 User\sRight:\s+(.*?)\s+?(Assigned\sTo|Removed\sFrom):
ユーザー・ワークステーション (User Workstations) いいえ 1 User Workstations[:\s]*(.*?)\s+Password Last Set:

以下のカスタム・イベント・プロパティーは、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.4から削除されました。 この削除によって、ご使用の環境が影響を受けることはありません。 プロパティーの使用を確認し、必要に応じて後継のプロパティーに更新することができます。

表 22. 1.0.4 で置き換えられたカスタム・プロパティー
削除されたカスタム・プロパティー 後継のプロパティー
アカウント・ロックアウト・アカウント名 ターゲット・ユーザー名
アカウント・ロックアウト・セキュリティー ID ターゲット・アカウント・セキュリティー ID
アカウント・ログオン失敗アカウント・ドメイン ターゲット・ユーザー・ドメイン
アカウント・ログオン失敗アカウント名 ターゲット・ユーザー名
アカウント・ログオン失敗セキュリティー ID ターゲット・アカウント・セキュリティー ID
AccountDomain ユーザー・ドメイン
AccountName イニシエーター・ユーザー名 (Initiator User Name)
発信者のコンピューター名 コンピューター名
呼び出し元ドメイン ユーザー・ドメイン
呼び出し元プロセス名 プロセス・パス
ファイル ファイル名

ファイル拡張子

メンバー・アカウント名 ターゲット・ユーザー名
メンバー・セキュリティー ID ターゲット・アカウント・セキュリティー ID
新規アカウント・ドメイン ターゲット・ユーザー・ドメイン
新規アカウント名 ターゲット・ユーザー名
新規アカウント・セキュリティー ID ターゲット・アカウント・セキュリティー ID
新規ログオン・アカウント・ドメイン ターゲット・ユーザー・ドメイン
新規ログオン・アカウント名 ターゲット・ユーザー名
新規ログオン・セキュリティー ID ターゲット・アカウント・セキュリティー ID
新規プロセス名 プロセス名

元のプロパティー (「New Process Name」) では、プロセスのパスが (ディレクトリーと名前が一緒に) 返されていました。 新しいプロパティー (「Process Name」) では、プロセス名のみが返されます。

新規トークン・アカウント・ドメイン ターゲット・ユーザー・ドメイン
新規トークン・アカウント名 ターゲット・ユーザー名
新規トークン・セキュリティー ID ターゲット・アカウント・セキュリティー ID
1 次ドメイン ユーザー・ドメイン
レルム ユーザー・ドメイン
ソース・ワークステーション コンピューター名
サブジェクト・アカウント・ドメイン ユーザー・ドメイン
サブジェクト・アカウント名 イニシエーター・ユーザー名 (Initiator User Name)
サブジェクト・セキュリティー ID アカウント・セキュリティー ID
ターゲット・アカウント・ドメイン ターゲット・ユーザー・ドメイン
ターゲット・アカウント名 ターゲット・ユーザー名
ターゲット・ドメイン ターゲット・ユーザー・ドメイン
ターゲット・プロセス名 (Target Process Name) プロセス名

( 上に戻る )

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.1

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.1のカスタム・イベント・プロパティーを示しています。

表23. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.1 のカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
アクセス数 はい 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
アカウント・ロックアウト・アカウント名 いいえ 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
アカウント・ロックアウト・セキュリティー ID いいえ 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
アカウント・ログオン失敗アカウント・ドメイン いいえ 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
アカウント・ログオン失敗アカウント名 いいえ 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
アカウント・ログオン失敗セキュリティー ID いいえ 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
アカウント・セキュリティー ID いいえ 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain はい 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID はい 1 非推奨
AccountName はい

はい

はい

1

1

1

非推奨

非推奨

非推奨

プロセス・イメージ・ファイル名の割り当て いいえ 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
発信者のコンピューター名 いいえ 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
呼び出し元ドメイン いいえ 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
呼び出し元プロセス名 いいえ 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
呼び出し元ユーザー名 いいえ 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes はい 1 Changed\sAttributes:\s+(.*)
クライアント・ドメイン いいえ 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
クライアント・ユーザー名 いいえ 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
コンピューター (Computer) いいえ 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
使用資格情報アカウント・ドメイン いいえ 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
使用資格情報アカウント名 いいえ 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
ドメイン いいえ 4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
エラー・コード いいえ 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
イベント ID コード いいえ 1 \tEventIDCode=(.*?)\t
EventID はい

はい

はい

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

ファイル いいえ 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
「グループ」ドメイン いいえ

いいえ

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)

Group Name いいえ

いいえ

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)

グループ・セキュリティー ID いいえ

いいえ

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)

GroupID はい 1 Group ID: (\d+)
ホーム・ディレクトリー いいえ 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
ログオン・タイプ いいえ 1 \sLogon\sType:\s+(\d+)(\s|$)
メンバー・アカウント名 いいえ 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
メンバー・セキュリティー ID いいえ 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
メッセージ いいえ 1 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
新規アカウント・ドメイン いいえ 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
新規アカウント名 いいえ 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
新規アカウント・セキュリティー ID いいえ 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
新規ログオン・アカウント・ドメイン いいえ 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
新規ログオン・アカウント名 いいえ 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
新規ログオン・セキュリティー ID いいえ 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
新規プロセス・イメージ・ファイル名 いいえ 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
新規プロセス名 いいえ 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
新規トークン・アカウント・ドメイン いいえ 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
新規トークン・アカウント名 いいえ 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
新規トークン・セキュリティー ID いいえ 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName はい

はい

1

1

非推奨

非推奨

ObjectType はい 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
1 次ドメイン いいえ 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
プライマリー・ユーザー名 いいえ 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
プロセス名 いいえ 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
レルム はい 1 Supplied Realm Name: (.*?)[ ]
レコード番号 いいえ 1 \tRecordNumber=(.*?)\t
SAM アカウント名 いいえ 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
有効範囲 はい 1 Scope:\s(.*?)\s+(\d+|$)
2 次ユーザー名 いいえ 1 \tSecondaryUserName=(.*?)\t
サービス名 いいえ 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
共有名 (Share Name) いいえ 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
ソース・ワークステーション はい 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
サブジェクト・アカウント・ドメイン いいえ 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
サブジェクト・アカウント名 いいえ 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
サブジェクト・セキュリティー ID いいえ 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
ターゲット・アカウント・ドメイン いいえ 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
ターゲット・アカウント名 いいえ 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
ターゲット・アカウント・セキュリティー ID いいえ

いいえ

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:

ターゲット・ドメイン いいえ 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
ターゲット・プロセス名 (Target Process Name) いいえ 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
ターゲット・ユーザー名 いいえ 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
ユーザー・アカウント いいえ 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
ユーザー・ドメイン いいえ 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
ユーザー名 いいえ 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
ユーザー・プリンシパル名 いいえ 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
ユーザー権限 いいえ 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
ユーザー・ワークステーション (User Workstations) いいえ 1 \s\sUser\sWorkstations:\s(.*?)\s\s

( 上に戻る )

IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.0

次の表では、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.0のカスタム・イベント・プロパティーを示しています。

表24. IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.0.0 のカスタム・イベント・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
アクセス数 はい 1 [\s\s|\t]Accesses:\s{0,2}(.*?)($|\s+(Access\s(Check\sResults|Mask|Reasons)|Privileges):)
アカウント・ロックアウト・アカウント名 いいえ 2 \s\sAccount\sThat\sWas\sLocked\sOut:\s\s+(.*?)\s\sAccount\sName:\s\s+(.*?)\s\s
アカウント・ロックアウト・セキュリティー ID いいえ 2 \s\sAccount\sThat\sWas\sLocked\sOut:(\s{2,3})Security\sID:\s\s(.*?)\s\s
アカウント・ログオン失敗アカウント・ドメイン いいえ 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
アカウント・ログオン失敗アカウント名 いいえ 2 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
アカウント・ログオン失敗セキュリティー ID いいえ 1 \s\sAccount\sFor\sWhich\sLogon\sFailed:\s\s\sSecurity\sID:\s\s(.*?)\s\s
アカウント・セキュリティー ID いいえ 2 \s\sAccount\sInformation:\s\s(Security|.+User)\sID:\s+(.*?)\s\s
AccountDomain はい 3 \s\sAccount\sInformation:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
AccountID はい 1 Target Account ID: (.*?)
AccountName はい

はい

はい

1

1

1

New Account Name: (.*?)

Target Account Name: (.*?)

Account Name:\s*(.+?)\s+(Additional Information|Account Domain|Service Information|SID History|Access Granted|Access Removed|Group|Display Name|Supplied Realm Name|Workstation|New Domain):

プロセス・イメージ・ファイル名の割り当て いいえ 2 \s\sAssigning\sProcess\sInformation:\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
発信者のコンピューター名 いいえ 1 \s\sCaller\sComputer\sName:\s(.*?)(\s$|\t)
呼び出し元ドメイン いいえ 2 \sCaller\sDomain:(\s?)(.*?)\s(\s|Caller\sLogon\sID:)
呼び出し元プロセス名 いいえ 1 \s\sCaller\sProcess\sName:\s(.*?)\s\s
呼び出し元ユーザー名 いいえ 3 \sCaller\sUser(\sN|n)ame:(\s?)(.*?)\s(\s|Caller\sDomain:)
ChangedAttributes はい 1 Changed\sAttributes:\s+(.*)
クライアント・ドメイン いいえ 2 \s\sClient\sDomain:(\s{0,2})(.*?)\s\s
クライアント・ユーザー名 いいえ 2 \s\sClient\sUser\sName:(\s{0,2})(.*?)\s\s
コンピューター (Computer) いいえ 7 (\tComputer=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t)(.*?)\t
使用資格情報アカウント・ドメイン いいえ 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
使用資格情報アカウント名 いいえ 3 \s\sAccount\sWhose\sCredentials\sWere\sUsed:(\s{2,3})Account\sName:(\s{1,2})(.*?)\s\s
ドメイン いいえ 4 (\s|Successful\sLogon:\s(.*?))\sDomain:(\s{1,2})(.*?)\s(\s|Logon\sID:)
エラー・コード いいえ 8 (\s|[Mm]essage=)[Ee]rror(:|(\s([Cc]ode((\swas|\sreturned\s.+\sprocessor)?)(:?)|status:|value:|:)))\s?(.*?)([ .:,]|$)
イベント ID コード いいえ 1 \tEventIDCode=(.*?)\t
EventID はい

はい

はい

1

1

1

\d{1,2}\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)

EventID=(\d+)

LEEF:[0-9\.]+\|Microsoft\|Windows\|.+\|(\d+)\|

ファイル いいえ 3 (\s|,)\s[Ff]ile:(\s?)(.*?)(,\s|\sowned\sby)
「グループ」ドメイン いいえ

いいえ

2

3

(\s|\t)Group\sDomain:\s*(.*?)(\s\s|\t)

\s(Target|Group)\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)

Group Name いいえ

いいえ

2

6

(\s|\t)Group\sName:\s*(.*?)(\t|\s(\s|Group\sDomain:))

\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain|Group\sDomain:)

グループ・セキュリティー ID いいえ

いいえ

3

3

(\s|\t)Group:(\s+|\t)Security\sID:\s*(.*?)(\s\s|\t)

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged|Group):\s{1,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(|\s|Caller\sUser\sName:)

GroupID はい 1 Group ID: (\d+)
ホーム・ディレクトリー いいえ 2 \s\sHome\sDirectory:(\s{1,2})(.*?)\s\s
ログオン・タイプ いいえ 1 \sLogon\sType:\s+(\d+)(\s|$)
メンバー・アカウント名 いいえ 5 (\s|\t)Member(:(\s+?|\t).*?(\s+?|\t)Account)?\sName:\s*(.*?)(\t|\s+?(Group|Member\sID):)
メンバー・セキュリティー ID いいえ 4 (\s|\t)Member(:(\s+?|\t)Security)?\sID:\s*(.*?)(\t|(\s+?(Target\s)?Account\sName:))
メッセージ いいえ 10 (\t[Mm]essage=|\s\d{1,2}[:\s]\d{1,2}[:\s]\d{1,2}\s+\d{1,4}\s+(\d+)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(.*?)\t(\t?))(.+)
新規アカウント・ドメイン いいえ 6 \s\sNew\sAccount((\sName)?):\s(.*?)\s\s(Account|New)\sDomain:(\s{1,2})(.*?)\s\s
新規アカウント名 いいえ 5 \s\sNew\sAccount((:\s\s(.*?)\s\sAccount)?)\sName:(\s{1,2})(.*?)\s\s
新規アカウント・セキュリティー ID いいえ 2 \s\sNew\sAccount(:\s{2,3}Security)?\sID:\s{1,2}(.*?)\s\s
新規ログオン・アカウント・ドメイン いいえ 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sDomain:(\s{1,2})(.*?)\s\s
新規ログオン・アカウント名 いいえ 3 \s\sNew\sLogon:\s\s(.*?)\s\sAccount\sName:(\s{1,2})(.*?)\s\s
新規ログオン・セキュリティー ID いいえ 3 \s\sNew\sLogon:(\s{2,3})Security\sID:(\s{1,2})(.*?)\s\s
新規プロセス・イメージ・ファイル名 いいえ 3 \s\s(New\sProcess\sInformation|A\snew\sprocess\shas\sbeen\screated):\s\s(.*?)\s\sImage\sFile\sName:\s(.*?)\s\s
新規プロセス名 いいえ 2 \sNew\sProcess\sName:(\s?)(.*?)\s(\s|Token\sElevation\sType:)
新規トークン・アカウント・ドメイン いいえ 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sDomain:\s\s(.*?)\s\s
新規トークン・アカウント名 いいえ 2 \s\sNew\sToken\sInformation:\s\s(.*?)\s\sAccount\sName:\s\s(.*?)\s\s
新規トークン・セキュリティー ID いいえ 1 \s\sNew\sToken\sInformation:\s\sSecurity\sID:\s\s(.*?)\s\s
ObjectName はい

はい

1

1

Object Name: (.*?)

New Process Name: (.*?)

ObjectType はい 1 Object\sType:\s{0,2}(.*?)\s+(Object\sName|Process\sID|Source\sAddress):
1 次ドメイン いいえ 2 \s\sPrimary\sDomain:(\s{0,2})(.*?)\s\s
プライマリー・ユーザー名 いいえ 2 \s\sPrimary\sUser\sName:(\s?)(.*?)\s\s
プロセス名 いいえ 2 \s\sProcess\sName:\s(\s?)(.*?)(\s\s|$)
レルム はい 1 Supplied Realm Name: (.*?)[ ]
レコード番号 いいえ 1 \tRecordNumber=(.*?)\t
SAM アカウント名 いいえ 2 \sS(AM|am)\sAccount\sName:\s?(.*?)\s(\s|SID\sHistory:)
有効範囲 はい 1 Scope:\s(.*?)\s+(\d+|$)
2 次ユーザー名 いいえ 1 \tSecondaryUserName=(.*?)\t
サービス名 いいえ 5 \s(\s|Service\sInformation:\s)(Service\sName|Server:\s\s(.*?)\s\sService):(\s{0,2})(.*?)\s(\s|Server:|Service\sFile\sName:)
共有名 (Share Name) いいえ 2 \sShare\sName:(\s{0,2})(.*?)\s(\s|Share\sPath:)
ソース・ワークステーション はい 6 (\sSource\sWorkstation|The\slogon\sto\saccount:\s(.*?)\sby:\s(.*?)\sfrom\sworkstation|(\s|Authentication\sPackage:\s(.*?))\sWorkstation\sName|Caller\sWorkstation):\s(.*?)\s(\s|Caller\sUser\sName:|Error\sCode:)
サブジェクト・アカウント・ドメイン いいえ 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sDomain:(\s{0,2})(.*?)\s(\s|Logon\sID:)
サブジェクト・アカウント名 いいえ 5 (\s\s|\t)Subject(\s?):\s(.*?)\sAccount\sName:(\s{0,2})(.*?)\s(\s|Account\sDomain:)
サブジェクト・セキュリティー ID いいえ 5 (\s\s|\t)Subject(\s?):(\s{1,3})Security\sID:(\s{0,2})(.*?)\s(\s|Account\sName:)
ターゲット・アカウント・ドメイン いいえ 3 \s\s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s\s(.*?)\s\sAccount\sDomain:\s{0,2}(.*?)(\s\s|\s$|\t)
ターゲット・アカウント名 いいえ 6 \s(Target\sAccount|Computer\sAccount\sThat\sWas\sChanged)((:\s\s(.*?)\s\sAccount)?)\sName:(\s{0,2})(.*?)\s(\s|Target\sDomain:)
ターゲット・アカウント・セキュリティー ID いいえ

いいえ

3

2

\s((Target\sAccount|Computer\sAccount\sThat\sWas\sChanged):\s{2,3}Security|Target\sAccount)\sID:\s{0,2}(.*?)\s(\s|Caller\sUser\sName:)

(Assigned\sTo|Removed\sFrom):\s*(.*?)\s+?(Assigned|Removed)\sBy:

ターゲット・ドメイン いいえ 2 \sTarget\sDomain:(\s?)(.*?)\s(\s|Target\sAccount\sID:)
ターゲット・プロセス名 (Target Process Name) いいえ 1 \s\sTarget\sProcess\sName:\s(.*?)\s\s
ターゲット・ユーザー名 いいえ 1 \s\sTarget\sUser\sName:\s(.*?)\s\s
ユーザー・アカウント いいえ 1 \sUser\saccount:\s(.*?)\sUser\sdomain:
ユーザー・ドメイン いいえ 2 \sUser\s[Dd]omain:(\s{1,2})(.*?)\s(\s|\w+:)
ユーザー名 いいえ 3 (\s|:)\sUser\s[Nn]ame:(\s?)(.*?)\s(\s|\w+:)
ユーザー・プリンシパル名 いいえ 1 \s\sUser\sPrincipal\sName:\s(.*?)\s\s
ユーザー権限 いいえ 1 User\sRight:\s*(.*?)\s+?(Assigned\sTo|Removed\sFrom|$):
ユーザー・ワークステーション (User Workstations) いいえ 1 \s\sUser\sWorkstations:\s(.*?)\s\s

( 上に戻る )

次の表は、 IBM Security QRadar Custom Properties for Microsoft Windows コンテンツ拡張のカスタム・イベント・プロパティーのベースとなるイベント ID とイベント名を示しています。

表25。 IBM セキュリティー QRadar Custom Properties for Microsoft Windows コンテンツ拡張 1.2.1 のイベント ID
イベント ID イベント名
1 プロセス作成
2 プロセスがファイル作成時刻を変更しました
3 ネットワーク接続が検出されました
5 プロセスが終了しました
7 ロードされたイメージ
8 RemoteThread の作成
10 ProcessAccess
11 FileCreate
13 レジストリー・イベント (値セット)
15 FileCreateStreamHash
22 DNS 照会
23 ファイル削除
513 成功監査: ユーザー・アカウントが作成されました
537 ログオンの失敗-その他の理由でログオンの試みが失敗しました。
627 成功した監査: パスワード変更の試行が成功しました
631 グループが作成されました
632 グローバル・グループ・メンバーの追加
634 グループが削除されました
636 追加されたローカル・グループ・メンバー
637 ローカル・グループ・メンバーが削除されました
850 Windows ファイアウォール構成
4103 モジュール・ロギング・コマンドの呼び出し
4104 実行/コンパイルされたスクリプト・ブロック
4624 成功した監査: アカウントは正常にログオンしました
4625 監査の失敗: アカウントがログオンに失敗しました
4648 成功監査: 明示的な資格情報を使用したログオンが成功しました
4656 障害監査: オブジェクトへのハンドルが要求されました
4657 成功した監査: レジストリー値が変更されました
4662 成功した監査: オブジェクトに対して操作が実行されました
4663 成功した監査: オブジェクトにアクセスしようとしました
4670 成功した監査: オブジェクトに対する権限が変更されました
4688 成功監査: 新規プロセスが作成されました
4689 成功監査: プロセスが終了しました
4696 成功監査: 1 次トークンがプロセスに割り当てられました
4698 成功監査: スケジュールされたタスクが作成されました
4702 成功監査: スケジュールされたタスクが更新されました
4720 成功監査: ユーザー・アカウントが作成されました
4723 成功監査: アカウントのパスワードを変更しようとしました
4725 成功の監査: ユーザー・アカウントが無効になりました
4726 ユーザー・アカウントが削除されました
4727 成功の監査: セキュリティー対応のグローバル・グループが作成されました
4728 成功の監査: セキュリティーが有効なグローバル・グループにメンバーが追加されました
4729 成功の監査: セキュリティーが有効なグローバル・グループからメンバーが削除されました
4730 成功した監査: セキュリティーが有効なグローバル・グループが削除されました
4732 成功した監査: セキュリティーが有効なローカル・グループにメンバーが追加されました
4733 成功の監査: セキュリティーが有効なローカル・グループからメンバーが削除されました
4735 成功監査: セキュリティーが有効なローカル・グループが変更されました
4737 成功の監査: セキュリティーが有効なグローバル・グループが変更されました
4738 成功した監査: ユーザー・アカウントが変更されました
4740 成功監査: ユーザー・アカウントがロックアウトされました
4741 成功した監査: コンピューター・アカウントが作成されました
4742 成功の監査: コンピューター・アカウントが変更されました
4743 成功監査: コンピューター・アカウントが削除されました
4754 成功監査: セキュリティー対応の汎用グループが作成されました
4755 成功監査: セキュリティー対応の汎用グループが変更されました
4756 成功の監査: セキュリティーが有効な汎用グループにメンバーが追加されました
4761 成功の監査: セキュリティーが無効になっている汎用グループにメンバーが追加されました
4762 成功の監査: セキュリティーが無効になっている汎用グループからメンバーが削除されました
4767 成功監査: ユーザー・アカウントがアンロックされました
4768 成功監査: Kerberos 認証チケット (TGT) が要求されました
4769 失敗の監査: Kerberos サービス・チケットが拒否されました
5140 ネットワーク共有オブジェクトがアクセスされた
5142 ネットワーク共有オブジェクトが追加されました
5145 成功監査: アクセスのためにチェックされたネットワーク共有オブジェクト

( 上に戻る )