IBM QRadar definições de configuração de integração
Use esta opção para modificar o. IBM QRadarpropriedades do sistema padrão de integração de ingestão.
Para modificar as propriedades do sistema, faça login como um usuário com sn_si.admin e navegue até .
| Nome da Propriedade | Descrição |
|---|---|
| Imponha um limite no número de incidentes de segurança que podem ser criados em um período de 24 horas. sn_sec_qradar.max_si_per_day |
Especifica o número máximo de incidentes de segurança que podem ser criados em 24 horas.
|
| Impõe um limite ao número de infrações que podem ser agregados a um único incidente. sn_sec_qradar.max_aggregation_per_si |
O limite de agregação de infração para um incidente de segurança. Por exemplo, se houver 102 infrações, as primeiras 100 infrações serão agregadas a. incidente de segurança_1 e os restantes 2 a. incidente de segurança_2 .
|
| Esta propriedade define o período de tempo de AQL para buscar eventos/fluxos recentes para uma infração específica. sn_sec_qradar.on_demand_recent_days_limit |
Especifica o número de dias para buscar eventos ou fluxos recentes para uma infração específica.
|
| Esta propriedade limita o número de eventos recentes obtidos para uma infração específica. sn_sec_qradar.on_demand_event_limit |
Especifica o número de eventos que são recuperados para uma infração. Os eventos mais recentes são recuperados primeiro com base no carimbo de data/hora do evento.
|
| Esta propriedade limita o número de fluxos recentes obtidos para uma infração específica. sn_sec_qradar.on_demand_flow_limit |
Especifica o número de fluxos que são recuperados para uma infração. Os fluxos mais recentes são recuperados primeiro com base no carimbo de data/hora do fluxo.
|
| Esta propriedade define o valor de tempo limite (segundos) para o AQL que busca fluxos/eventos recentes para uma infração específica. sn_sec_qradar.on_demand_timeout |
|
| Tempo limite de IDs de pesquisa (segundos) para registros na fila para pesquisa de AQLs de uma infração. sn_sec_qradar.sid_ttl |
O tempo limite do AQL para uma infração na fila antes de criar um incidente de segurança. Por exemplo, se houver 90 infrações, as primeiras 50 infrações serão processadas para dados de AQL no primeiro lote e as restantes 40 infrações no lote subsequente no mesmo intervalo de pesquisa.
|
Limite para controlar o número de pesquisas que podem ser executadas em IBM QRadarem um horário acionado pela integração agendada job.sn_sec_qradar.records_threshold_in_que_for_aql |
Especifica o número de infrações que você busca em um único lote em um intervalo de pesquisa.
|
Este é o número de dias para limpeza de tabelas de integração. sn_sec_qradar.queue_item_expire |
A seguir estão as tabelas de integração:
|
Limite de infração por execuções de trabalho agendadas por perfil na recuperação única ou na ingestão contínua. sn_sec_qradar.max_ofense_limit_per_run |
Especifica o número de infrações que você busca na Now Platform em uma única recuperação.
|
Defina esta propriedade para ativar o recurso Atualizações de infração. sn_sec_qradar.get_ofense_updates |
Nota:
A ativação desta configuração pode causar um atraso na criação de um incidente de segurança.
|
Todas as configurações de integração modificadas serão aplicadas durante o próximo intervalo de pesquisa, conforme definido no perfil.