Ingérer les exemples IBM QRadar d’infractions

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 2 minutes de lecture

    • Vous pouvez ingérer des exemples d’infractions pour une ou plusieurs règles sélectionnées IBM QRadar .

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, cliquez sur Mappage dans la barre de progression.
    2. Vous pouvez soit extraire les trois exemples d’infractions les plus récents, soit fournir les ID d’infraction uniques pour les infractions spécifiques que vous souhaitez utiliser pour votre expérience de mappage.
      Dans la liste de choix Préférences d’ingestion , sélectionnez l’une des options suivantes :
      • Récupérer les infractions les plus récentes : les trois infractions les plus récentes pour les règles sélectionnées sont récupérées.
      • Sélectionner les infractions en fonction de l’ID d’infractions : spécifiez l’ID d’infraction pour les infractions à récupérer. Vous pouvez spécifier un maximum de 3 ID d’infractions séparés par des virgules.

      IBM QRadar : créer un profil : mappage : par défaut
    3. Cliquez sur Extraire les données d’exemple pour extraire les derniers exemples de données d’infraction de la IBM QRadar console pour les règles d’infraction sélectionnées.
      Les champs et les résultats des valeurs d’infraction sont affichés sous forme d’onglets individuels. Une infraction peut être déclenchée par trois types de règles :
      • Événement : dans cette règle, les journaux d’événements sont vérifiés et si les critères spécifiés sont remplis, une infraction est créée.
      • Flux : les données et le trafic réseau sont vérifiés et si certaines conditions sont remplies, une infraction est créée.
      • Commun : dans ce cas, vous pouvez spécifier des conditions pour les événements ou les flux si l’une ou l’autre ou les deux conditions sont remplies, une infraction est créée.
      L’extraction d’échantillons d’infractions peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran. En fonction de la ou des règles qui ont déclenché l’infraction, les champs d’événement ou de flux sont renseignés, comme illustré dans la figure ci-dessous :
      Mappage IBM QRadar Exemple d’infraction et d’événements
      Remarque :
      Les champs d’événement ou de flux affichés appartiennent au premier événement ou champ de flux qui a déclenché l’infraction en fonction de la règle d’événement ou de flux correspondante.
    4. Les champs d’infraction personnalisés suivants sont créés pour cette intégration.
      Des champs d’infractions standard en plus de ces champs personnalisés sont disponibles pour le mappage.
      • rules_contributing_to_offense : IBM QRadar règles qui ont contribué à l’infraction d’après l’ID de règle.
      • users : noms d’utilisateur pour l’infraction
      • remote_destination_ip : adresses IP de destination distantes pour l’infraction.
        En fonction des ID de destination locaux pour l’infraction, les champs d’adresse de destination locale personnalisée suivants sont disponibles :
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (réseau)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Les adresses sources suivantes sont disponibles en fonction des ID sources de l’infraction :
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (réseau)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Cochez la case Extraire des champs d’événements et de flux supplémentaires (facultatif). Vous pouvez extraire des échantillons de données d’événement et de flux à partir de n’importe quel champ de flux et d’événement personnalisé actif et valide. Spécifiez les champs personnalisés séparés par des virgules, comme indiqué ci-dessous :


      IBM QRadar : créer un profil : mappage : personnalisé
      Cliquez sur Extraire des exemples de données. Les champs d’événement ou de flux spécifiés ainsi que leurs valeurs (le cas échéant) sont ajoutés à la section Événement ou Flux, comme indiqué ci-dessous :
      IBM QRadar : créer un profil : mappage : personnalisé : résultat
      Une fois les exemples de données extraits, les valeurs correspondantes de ces champs sont renseignées sur le côté gauche du formulaire.
      IBM QRadar : créer un profil : infractions renseignées

    Que faire ensuite

    Une fois que vous avez extrait les données d’échantillon, l’étape suivante consiste à mapper les champs d’infraction à l’incident de sécurité.