Komponenty zdarzeń LEEF
Format LEEF (Log Event Extended Format) jest dostosowanym formatem zdarzeń dla produktu IBM® QRadar® , który zawiera czytelne i łatwo przetworzone zdarzenia dla programu QRadar. Format LEEF składa się z następujących komponentów.
Nagłówek dziennika systemowego
Nagłówek syslog zawiera znacznik czasu i adres IPv4 lub nazwę hosta systemu, który udostępnia zdarzenie. Nagłówek syslog jest opcjonalnym komponentem w formacie LEEF. Jeśli dołączany jest nagłówek syslog, należy oddzielić nagłówek syslog z nagłówka LEEF z przestrzenią. Nagłówek syslog musi być zgodny z formatami określonymi w dokumencie RFC 3164 lub RFC 5424.
Znacznik priorytetu, jeśli istnieje, musi mieć wartość 1-3 cyfry i musi być ujęty w nawiasy trójkątne. Na przykład < 13 >.
- <13>Jan 18 11:07:53 192.168.1.1
- Jan 18 11:07:53 mojnazwa_hosta
- Znak ' T' musi być literałem T.
- Wartość Z może być literałem Z lub może to być wartość strefy czasowej w następującym formacie: -04:00
- < 13 > 1 2019-01-18T11:07:53.520Z 192.168.1.1
- < 133 > 1 2019-01-18T11:07:53.520+07:00 moja_nazwa hosta
Nagłówek LEEF
Nagłówek LEEF jest polem wymaganym dla zdarzeń LEEF. Nagłówek LEEF to zestaw wartości rozdzielanych znakami potoku (|), który identyfikuje oprogramowanie lub urządzenie na wartość QRadar.
Przykłady:
- LEEF:Wersja | Dostawca | Produkt | Wersja |EventID|
- LEEF:1.0|Microsoft|MSExchange|4.0 SP1|15345|
- LEEF:2.0|Lancope|StealthWatch|1.0|41|^|
Atrybuty zdarzeń
Atrybuty zdarzeń identyfikują informacje o ładunku zdarzenia, które jest generowane przez urządzenie lub oprogramowanie. Każdy atrybut zdarzenia to para kluczowa i wartość z kartą oddzielający poszczególne zdarzenia ładunku. Format LEEF zawiera pewną liczbę predefiniowanych atrybutów zdarzeń, które umożliwiają QRadar kategoryzację i wyświetlenie zdarzenia.
- key=value < tab> klucz = wartość < tab> klucz = wartość < tab> klucz = wartość < tab>.
- src=192.0.2.0 dst=172.50.123.1 sev=5 cat=anomaly srcPort=81 dstPort=21 usrName=joe.black
Użyj DelimiterCharacter w nagłówku LEEF 2.0 , aby określić alternatywny ogranicznik dla atrybutów. Dla tego znaku można użyć pojedynczego znaku lub wartości szesnastkowej. Wartość szesnastkowa może być reprezentowana przez przedrostek 0x lub x, po którym następuje seria o długości od 1 do 4 znaków (0-9A-Fa-f).
| Separator | Nagłówek |
|---|---|
| Daszek (^) | LEEF:2.0|Vendor|Product|Version|EventID|^| |
| Daszek (wartość szesnastkowa) | LEEF:2.0|Vendor|Product|Version|EventID|x5E| |
| Pęknięty pionowy pasek (Ś) | LEEF:2.0|Vendor|Product|Version|EventID|xa6| |
Poniższa tabela zawiera opisy formatów LEEF.
| Typ | Wprowadzanie | Separator | Opis |
|---|---|---|---|
Nagłówek dziennika systemowego |
Adres IP |
Space |
Adres IP lub nazwa hosta oprogramowania lub urządzenia, które udostępnia zdarzenie do QRadar. Przykład:
192.168.1.1 moja_nazwa Adres IP nagłówka syslog jest używany przez QRadar do kierowania zdarzenia do poprawnego źródła dziennika w potoku zdarzeń. Nie zaleca się, aby nagłówek syslog zawierał adres IPv6 . QRadar nie może kierować adresu IPv6 , który znajduje się w nagłówku syslog dla potoku zdarzeń. Ponadto adres IPv6 może nie być poprawnie wyświetlany w polu Identyfikator źródła dziennika w interfejsie użytkownika. Jeśli adres IP nagłówka syslog nie może być zrozumiany przez QRadar, to system domyślnie przyjmuje adres pakietu, aby poprawnie skierować zdarzenie. |
Nagłówek LEEF |
LEEF :wersja |
Potok |
Informacje o wersji LEEF są liczbą całkowitą identyfikującą główną i podrzędną wersję formatu LEEF, która jest używana dla zdarzenia. Na przykład: LEEF:1.0|Vendor|Product|Version|EventID| |
Nagłówek LEEF |
Nazwa dostawcy lub producenta |
Potok |
Dostawca jest łańcuchem tekstowym, który identyfikuje dostawcę lub producenta urządzenia, który wysyła zdarzenia syslog w formacie LEEF. Na przykład: LEEF:1.0|Microsoft|Product|Version|EventID| Pola Dostawca i Produkt muszą zawierać unikalne wartości, jeśli są określone w nagłówku LEEF. |
Nagłówek LEEF |
Nazwa produktu |
Potok |
Pole produktu jest łańcuchem tekstowym, który identyfikuje produkt, który wysyła dziennik zdarzeń do QRadar. Na przykład: LEEF:1.0|Microsoft|MSExchange|Version|EventID| Pola Dostawca i Produkt muszą zawierać unikalne wartości, jeśli są określone w nagłówku LEEF. |
Nagłówek LEEF |
Wersja produktu |
Potok |
Wersja jest łańcuchem, który identyfikuje wersję oprogramowania lub urządzenia, które wysyła dziennik zdarzeń. Na przykład: LEEF:1.0|Microsoft|MSExchange|4.0 SP1|EventID| |
Nagłówek LEEF |
EventID |
Potok |
EventID jest unikalnym identyfikatorem zdarzenia w nagłówku LEEF. Celem identyfikatora EventID jest dostarczenie drobnego ziarna, unikalnego identyfikatora zdarzenia bez konieczności sprawdzania informacji o ładunku. Parametr EventID może zawierać albo zidentyfikowany numeryczny, albo tekstowy opis. Przykłady:
Ograniczenia: Wartość identyfikatora zdarzenia musi być spójna i statyczna w przypadku produktów obsługujących wiele języków. Jeśli produkt obsługuje zdarzenia wielojęzyczne, w polu EventID można użyć wartości numerycznej lub tekstowej, ale nie może ona być tłumaczona, gdy język urządzenia lub aplikacji jest zmieniany. Pole EventID nie może zawierać więcej niż 255 znaków. |
Nagłówek LEEF |
Znak separatora |
Potok |
Użyj DelimiterCharacter w nagłówku LEEF 2.0 , aby określić alternatywny ogranicznik dla atrybutów. Dla tego znaku można użyć pojedynczego znaku lub wartości szesnastkowej. Wartość szesnastkowa może być reprezentowana przez przedrostek 0x lub x, po którym następuje seria o długości od 1 do 4 znaków (0-9A-Fa-f). |
Atrybuty zdarzenia |
Predefiniowane pozycje kluczy |
Karta Znak separatora |
Atrybut zdarzenia to zestaw par klucz-wartość, które udostępniają szczegółowe informacje na temat zdarzenia zabezpieczeń. Każdy atrybut zdarzenia musi być oddzielony tabulatorami lub znakiem ogranicznika, ale kolejność atrybutów nie jest wymuszana. Na przykład: src=172.16.77.100 |