Das Beispiel wird erfasst IBM QRadarVergehen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Sie können Beispielvergehen für mindestens eine ausgewählte Person erfassen IBM QRadarRegeln.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf dem Fortschrittsbalken.
    2. Sie können entweder die drei neuesten Beispielvergehen abrufen oder die eindeutigen Vergehen-IDs für die spezifischen Vergehen angeben, die Sie für Ihre Zuordnungs-Experience verwenden möchten.
      Von Erfassungseinstellung Auswahlliste wählen Sie eine der folgenden Optionen aus:
      • Neueste Verstöße abrufen: Die drei neuesten Verstöße für die ausgewählten Regeln werden abgerufen.
      • Straftaten basierend auf Straftaten-ID auswählen: Geben Sie die Straftat-ID für die abzurufenden Straftaten an. Sie können maximal 3 Vergehen-IDs angeben, die durch Kommas getrennt sind.

      IBM QRadar: Profil erstellen: Zuordnung: Standard
    3. Klicken Sie Auf Rufen Sie Beispieldaten Ab Zum Abrufen der neuesten Beispielvergehen-Daten aus IBM QRadarKonsole für die ausgewählten Verstoßregeln.
      Die Ergebnisse der Verstoßfelder und -Werte werden als einzelne Registerkarten angezeigt. Eine Straftat kann durch drei Arten von Regeln ausgelöst werden:
      • Ereignis: In dieser Regel werden Ereignisprotokolle überprüft, und wenn die angegebenen Kriterien erfüllt sind, wird eine Vergehen erstellt.
      • Flow: Netzwerkdaten und -Datenverkehr werden überprüft. Wenn bestimmte Bedingungen erfüllt sind, wird eine Straftat erstellt.
      • Allgemein: In diesem Fall können Sie Bedingungen für Ereignisse oder Flows angeben, wobei entweder oder beide Bedingungen erfüllt sind, wird eine Straftat erstellt.
      Der Abruf für Beispielvergehen kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt. Abhängig von der Regel oder den Regeln, die den Verstoß ausgelöst haben, werden die Ereignis- oder Flow-Felder zusammen mit den Verstoßfeldern wie in der folgenden Abbildung dargestellt ausgefüllt:
      IBM QRadar-Zuordnung – Beispielvergehen und Ereignisse
      Hinweis:
      Die angezeigten Ereignis- oder Flow-Felder gehören zum ersten Ereignis- oder Flow-Feld, das den Verstoß basierend auf dem entsprechenden Ereignis oder Flow-Regel ausgelöst hat.
    4. Im Folgenden werden anwenderdefinierte Vergehen-Felder für diese Integration erstellt.
      Felder für Standardvergehen sind zusätzlich zu diesen anwenderdefinierten Feldern für die Zuordnung verfügbar.
      • rules_contributing_to_offense: IBM QRadarRegeln, die basierend auf der Regel-ID zur Vergehen beigetragen haben.
      • Anwender: Anwendernamen für die Straftat
      • Remote_destination_ip: Die Remote-Ziel-IPs für die Straftat.
        Basierend auf den lokalen Ziel-IDs für die Straftat sind die folgenden anwenderdefinierten lokalen Zieladressfelder verfügbar:
        • Local_destination_address (Domain_ID)
        • Local_destination_address (event_Flow_count)
        • Local_destination_address (first_event_flow_seen)
        • Local_destination_address (ID)
        • Local_destination_address (last_event_flow_seen)
        • Local_destination_address (local_destination_address_ids)
        • Local_destination_address (Größe)
        • Local_destination_address (Netzwerk)
        • Local_destination_address (offense_IDs)
        • Local_destination_address (local_destination_ip)
      • Die folgenden Quelladressen sind basierend auf den Quell-IDs der Straftat verfügbar:
        • Source_address (Domain_ID)
        • Source_address (event_Flow_count)
        • Source_address (first_event_flow_seen)
        • Source_address (ID)
        • Source_address (last_event_flow_seen)
        • Source_address (Source_address_IDs)
        • Source_address (Größe)
        • Source_address (Netzwerk)
        • Source_address (offense_IDs)
        • Source_address (Source_ip)

      Wählen Sie aus Zusätzliche Ereignis- und Flow-Felder abrufen (optional) Kontrollkästchen. Sie können Beispielereignis- und Flow-Daten aus allen aktiven, gültigen anwenderdefinierten Ereignis- und Flow-Feldern abrufen. Geben Sie die anwenderdefinierten Felder durch Kommas getrennt an, wie unten gezeigt:


      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert
      Klicken Sie Auf Rufen Sie Beispieldaten Ab . Die angegebenen Ereignis- oder Flow-Felder werden zusammen mit ihren Werten (falls verfügbar) wie unten gezeigt an den Abschnitt „Ereignis“ oder „Flow“ angehängt:
      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert: Ergebnis
      Nachdem Sie die Beispieldaten abgerufen haben, werden die entsprechenden Werte für diese Felder auf der linken Seite des Formulars ausgefüllt.
      IBM QRadar: Profil erstellen: Ausgefüllte Straftaten

    Nächste Maßnahme

    Nachdem Sie die Beispieldaten abgerufen haben, müssen Sie die Felder für Vergehen dem Security Incident zuordnen.