Ingerindo a amostra IBM QRadarinfrações

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 2 min. de leitura
  • Você pode ingerir exemplos de infrações para um ou mais selecionados IBM QRadarregras.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair as três infrações de amostra mais recentes ou fornecer os IDs de infração exclusivos para as infrações específicas que você deseja usar para sua experiência de mapeamento.
      Em Preferência de ingestão selecione uma das opções a seguir:
      • Recuperar infrações mais recentes: As três infrações mais recentes para as regras selecionadas são recuperadas.
      • Selecione infrações com base no ID de infrações: Especifique o ID de infração para as infrações a serem recuperadas. Você pode especificar um máximo de 3 ids de infração separados por vírgulas.

      IBM QRadar: Criar perfil: Mapeamento: Padrão
    3. Clique em Buscar dados de amostra para extrair os dados de infração de amostra mais recentes do IBM QRadarconsole para as regras de infração selecionadas.
      Os campos de infração e resultados de valores são exibidos como guias individuais. Uma infração pode ser acionada por três tipos de regras:
      • Evento: Nesta regra, os logs de eventos são verificados e, se os critérios especificados forem atendidos, uma infração será criada.
      • Fluxo: Os dados e o tráfego da rede são verificados e, se determinadas condições forem atendidas, uma infração será criada.
      • Comum: Neste caso, você pode especificar condições para eventos ou fluxos e uma ou ambas as condições são atendidas, uma infração é criada.
      A extração de exemplos de infrações pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela. Dependendo da regra ou regras que acionaram a infração, junto com os campos de infração, os campos de evento ou fluxo são preenchidos conforme mostrado na figura abaixo:
      Mapeamento do IBM QRadar Mapeamento e eventos
      Nota:
      Os campos de evento ou fluxo exibidos pertencem ao primeiro evento ou campo de fluxo que acionou a infração com base no evento ou regra de fluxo correspondente.
    4. Estes são campos de infração personalizados criados para esta integração.
      Os campos de infrações padrão, além desses campos personalizados, estão disponíveis para mapeamento.
      • regras_contribuindo_para_ofensa: IBM QRadarRegras que contribuíram para a infração com base no ID da regra.
      • Usuários: Nomes de usuário da infração
      • Remote_destination_ip: Os IPs de destino remotos da infração.
        Com base nos IDs de destino local da infração, os seguintes campos de endereço de destino local personalizados estão disponíveis:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (id)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (rede)
        • local_destination_address (ofense_ids)
        • local_destination_address (local_destination_ip)
      • Os seguintes endereços de origem estão disponíveis com base nos IDs de origem da infração:
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (id)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (rede)
        • source_addresses (ofense_ids)
        • source_addresses (source_ip)

      Selecione Buscar campos adicionais de evento e fluxo (opcional) caixa de seleção. Você pode buscar dados de fluxo e evento de amostra de qualquer evento personalizado válido e ativo e campos de fluxo. Especifique os campos personalizados separados por vírgulas, conforme mostrado abaixo:


      IBM QRadar: Criar perfil: Mapeamento: Personalizado
      Clique em Buscar dados de amostra . Os campos de evento ou fluxo especificados, juntamente com seus valores (se disponíveis), são anexados à seção Evento ou Fluxo, conforme mostrado abaixo:
      IBM QRadar: Criar perfil: Mapeamento: Personalizado: Resultado
      Depois de buscar os dados de amostra, os valores correspondentes para esses campos são preenchidos no lado esquerdo do formulário.
      IBM QRadar: Criar perfil: Infrações preenchidas

    O que Fazer Depois

    Depois de buscar os dados de amostra, a próxima etapa é mapear os campos de infração para o incidente de segurança.