Das Beispiel wird erfasst IBM QRadar Vergehen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 2 Minuten Lesedauer

    • Sie können Beispielvergehen für eine oder mehrere ausgewählte Fälle erfassen IBM QRadar Regeln.

    Vorbereitungen

    Erforderliche Rolle: sn_si.admin

    Prozedur

    1. Wenn das Zuordnungsformular nicht angezeigt wird, klicken Sie auf Zuordnung Auf der Fortschrittsleiste.
    2. Sie können entweder die drei neuesten Beispielvergehen abrufen oder die eindeutigen Vergehen-IDs für die spezifischen Straftaten angeben, die Sie für Ihre Zuordnungs-Experience verwenden möchten.
      Von Erfassungseinstellung Auswahlliste wählen Sie eine der folgenden Optionen aus:
      • Letzte Vergehen abrufen: Die drei letzten Vergehen für die ausgewählten Regeln werden abgerufen.
      • Straftaten basierend auf Straftaten-ID auswählen: Geben Sie die Straftat-ID für die abzurufenden Straftaten an. Sie können maximal 3 Vergehen-IDs angeben, die durch Kommas getrennt sind.

      IBM QRadar: Profil erstellen: Zuordnung: Standard
    3. Klicken Sie Auf Rufen Sie Beispieldaten Ab Dient zum Abrufen der neuesten Beispielvergehen-Daten aus dem IBM QRadar Konsole für die ausgewählten Verstoßregeln.
      Die Ergebnisse der Verstoßfelder und Werte werden als einzelne Registerkarten angezeigt. Eine Straftat kann durch drei Arten von Regeln ausgelöst werden:
      • Ereignis: In dieser Regel werden Ereignisprotokolle überprüft, und wenn die angegebenen Kriterien erfüllt sind, wird ein Verstoß erstellt.
      • Flow: Netzwerkdaten und -Datenverkehr werden überprüft, und wenn bestimmte Bedingungen erfüllt sind, wird eine Straftat erstellt.
      • Allgemein: In diesem Fall können Sie Bedingungen für Ereignisse oder Flows angeben, wobei entweder oder beide Bedingungen erfüllt sind, wird eine Straftat erstellt.
      Der Abruf für Beispielvergehen kann einige Minuten dauern. Eine Nachricht, die angibt, dass die Transaktion funktioniert, wird oben auf dem Bildschirm angezeigt. Abhängig von der Regel oder den Regeln, die den Verstoß ausgelöst haben, werden die Ereignis- oder Flow-Felder zusammen mit den Verstoßfeldern wie in der folgenden Abbildung dargestellt ausgefüllt:
      IBM QRadar Mapping – Beispiel für Vergehen und Ereignisse
      Hinweis:
      Die angezeigten Ereignis- oder Flow-Felder gehören zum ersten Ereignis- oder Flow-Feld, das den Verstoß basierend auf dem entsprechenden Ereignis oder Flow-Regel ausgelöst hat.
    4. Im Folgenden sind anwenderdefinierte Vergehen-Felder aufgeführt, die für diese Integration erstellt wurden.
      Neben diesen anwenderdefinierten Feldern sind Felder für Standardvergehen für die Zuordnung verfügbar.
      • Rules_Contributing_to_offense: IBM QRadar Regeln, die basierend auf der Regel-ID zur Vergehen beigetragen haben.
      • Anwender: Anwendernamen für die Straftat
      • Remote_destination_ip: Die Remote-Ziel-IPs für die Straftat.
        Basierend auf den lokalen Ziel-IDs für die Straftat sind die folgenden anwenderdefinierten lokalen Zieladressfelder verfügbar:
        • Local_destination_address (Domain_ID)
        • Local_destination_address (event_Flow_count)
        • Local_destination_address (first_event_Flow_seen)
        • Local_destination_address (ID)
        • LOCAL_destination_address (Last_event_Flow_seen)
        • Local_destination_address (local_destination_address_IDs)
        • Local_destination_address (Größe)
        • Local_destination_address (Netzwerk)
        • Local_destination_address (offense_IDs)
        • Local_destination_address (local_destination_ip)
      • Die folgenden Quelladressen sind basierend auf den Quell-IDs der Straftat verfügbar:
        • Source_ADDRESS (Domain_ID)
        • Source_ADDRESS (event_Flow_count)
        • Source_ADDRESS (first_event_Flow_seen)
        • Source_ADDRESS (ID)
        • Source_ADDRESS (Last_event_Flow_seen)
        • Source_ADDRESS (Source_address_IDs)
        • Source_address (Größe)
        • Source_address (Netzwerk)
        • Source_ADDRESS (offense_IDs)
        • Source_ADDRESS (Source_ip)

      Wählen Sie aus Zusätzliche Ereignis- und Flow-Felder abrufen (optional) Kontrollkästchen. Sie können Beispielereignis- und Flow-Daten aus allen aktiven, gültigen anwenderdefinierten Ereignis- und Flow-Feldern abrufen. Geben Sie die anwenderdefinierten Felder durch Kommas getrennt an, wie unten gezeigt:


      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert
      Klicken Sie Auf Rufen Sie Beispieldaten Ab . Die angegebenen Ereignis- oder Flow-Felder werden zusammen mit ihren Werten (falls verfügbar) wie unten gezeigt an den Abschnitt „Ereignis“ oder „Flow“ angehängt:
      IBM QRadar: Profil erstellen: Zuordnung: Anwenderdefiniert: Ergebnis
      Nachdem Sie die Beispieldaten abgerufen haben, werden die entsprechenden Werte für diese Felder auf der linken Seite des Formulars ausgefüllt.
      IBM QRadar: Profil erstellen: Ausgefüllte Straftaten

    Nächste Maßnahme

    Nachdem Sie die Beispieldaten abgerufen haben, ordnen Sie die Verstoßfelder dem Security Incident zu.