Ingerindo a amostra IBM QRadarinfrações
Você pode ingerir exemplos de infrações para um ou mais selecionados IBM QRadarregras.
Antes de Iniciar
Função necessária: sn_si.admin
Procedimento
- Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
-
Você pode extrair as três infrações de amostra mais recentes ou fornecer os IDs de infração exclusivos para as infrações específicas que você deseja usar para sua experiência de mapeamento.
Em Preferência de ingestão selecione uma das opções a seguir:
- Recuperar infrações mais recentes: As três infrações mais recentes para as regras selecionadas são recuperadas.
- Selecione infrações com base no ID de infrações: Especifique o ID de infração para as infrações a serem recuperadas. Você pode especificar um máximo de 3 ids de infração separados por vírgulas.
-
Clique em Buscar dados de amostra para extrair os dados de infração de amostra mais recentes do IBM QRadarconsole para as regras de infração selecionadas.
Os campos de infração e resultados de valores são exibidos como guias individuais. Uma infração pode ser acionada por três tipos de regras:
- Evento: Nesta regra, os logs de eventos são verificados e, se os critérios especificados forem atendidos, uma infração será criada.
- Fluxo: Os dados e o tráfego da rede são verificados e, se determinadas condições forem atendidas, uma infração será criada.
- Comum: Neste caso, você pode especificar condições para eventos ou fluxos e uma ou ambas as condições são atendidas, uma infração é criada.
Nota:Os campos de evento ou fluxo exibidos pertencem ao primeiro evento ou campo de fluxo que acionou a infração com base no evento ou regra de fluxo correspondente. -
Estes são campos de infração personalizados criados para esta integração.
Os campos de infrações padrão, além desses campos personalizados, estão disponíveis para mapeamento.
- regras_contribuindo_para_ofensa: IBM QRadarRegras que contribuíram para a infração com base no ID da regra.
- Usuários: Nomes de usuário da infração
- Remote_destination_ip: Os IPs de destino remotos da infração.Com base nos IDs de destino local da infração, os seguintes campos de endereço de destino local personalizados estão disponíveis:
- local_destination_address (domain_id)
- local_destination_address (event_flow_count)
- local_destination_address (first_event_flow_seen)
- local_destination_address (id)
- local_destination_address (last_event_flow_seen)
- local_destination_address (local_destination_address_ids)
- local_destination_address (magnitude)
- local_destination_address (rede)
- local_destination_address (ofense_ids)
- local_destination_address (local_destination_ip)
- Os seguintes endereços de origem estão disponíveis com base nos IDs de origem da infração:
- source_addresses (domain_id)
- source_addresses (event_flow_count)
- source_addresses (first_event_flow_seen)
- source_addresses (id)
- source_addresses (last_event_flow_seen)
- source_addresses (source_address_ids)
- source_addresses (magnitude)
- source_addresses (rede)
- source_addresses (ofense_ids)
- source_addresses (source_ip)
Selecione Buscar campos adicionais de evento e fluxo (opcional) caixa de seleção. Você pode buscar dados de fluxo e evento de amostra de qualquer evento personalizado válido e ativo e campos de fluxo. Especifique os campos personalizados separados por vírgulas, conforme mostrado abaixo:
Clique em Buscar dados de amostra . Os campos de evento ou fluxo especificados, juntamente com seus valores (se disponíveis), são anexados à seção Evento ou Fluxo, conforme mostrado abaixo:Depois de buscar os dados de amostra, os valores correspondentes para esses campos são preenchidos no lado esquerdo do formulário.
O que Fazer Depois
Depois de buscar os dados de amostra, a próxima etapa é mapear os campos de infração para o incidente de segurança.