Ingestão da amostra IBM QRadar infrações

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 2 min. de leitura

    • Você pode ingerir exemplos de infrações para um ou mais selecionados IBM QRadar regras.

    Antes de Iniciar

    Função necessária: sn_si.admin

    Procedimento

    1. Se o formulário de mapeamento não for exibido, clique em Mapeamento na barra de andamento.
    2. Você pode extrair as três infrações de amostra mais recentes ou fornecer os IDs de infração exclusivos para as infrações específicas que você deseja usar para sua experiência de mapeamento.
      Em Preferência de ingestão lista de seleção, selecione uma das seguintes opções:
      • Recuperar infrações mais recentes: As três infrações mais recentes das regras selecionadas são recuperadas.
      • Selecionar infrações com base no ID de infrações: Especifique o ID de infração para as infrações a serem recuperadas. Você pode especificar um máximo de 3 ids de ofensa separados por vírgulas.

      IBM QRadar: Criar perfil: Mapeamento: Padrão
    3. Clique em Buscar dados de amostra para extrair os dados de infração de amostra mais recentes do IBM QRadar console para as regras de infração selecionadas.
      Os campos de infração e os resultados de valores são exibidos como guias individuais. Uma infração pode ser acionada por três tipos de regras:
      • Evento: Nesta regra, os logs de evento são verificados e, se os critérios especificados forem atendidos, uma infração será criada.
      • Fluxo: Os dados e o tráfego da rede são verificados e, se determinadas condições forem atendidas, uma infração será criada.
      • Comum: Nesse caso, você pode especificar condições para eventos ou fluxos e uma ou ambas as condições forem atendidas, uma infração será criada.
      A extração de exemplos de infrações pode levar alguns minutos. Uma mensagem indicando que a transação está funcionando é exibida na parte superior da tela. Dependendo da regra ou regras que acionaram a infração, junto com os campos de infração, os campos de evento ou fluxo são preenchidos conforme mostrado na figura abaixo:
      Exemplo de Mapeamento do IBM QRadar e eventos
      Nota:
      Os campos de evento ou fluxo exibidos pertencem ao primeiro evento ou campo de fluxo que acionou a infração com base no evento ou regra de fluxo correspondente.
    4. Os seguintes campos de infração personalizados criados para esta integração.
      Campos de infrações padrão, além desses campos personalizados, estão disponíveis para mapeamento.
      • contributing_to_ofense: IBM QRadar Regras que contribuíram para a infração com base no ID da regra.
      • Usuários: Nomes de usuário da infração
      • Remote_destination_ip: Os IPs de destino remoto da infração.
        Com base nos IDs de destino local da infração, os seguintes campos de endereço de destino local personalizados estão disponíveis:
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (id)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (rede)
        • local_destination_address (ofense_ids)
        • local_destination_address (local_destination_ip)
      • Os seguintes endereços de origem estão disponíveis com base nos IDs de origem da infração:
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (id)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (rede)
        • source_addresses (ofense_ids)
        • source_addresses (source_ip)

      Selecione Buscar campos adicionais de evento e fluxo (opcional) caixa de seleção. Você pode buscar dados de fluxo e evento de amostra de qualquer evento personalizado ativo válido e campos de fluxo. Especifique os campos personalizados separados por vírgulas, conforme mostrado abaixo:


      IBM QRadar: Criar perfil: Mapeamento: Personalizado
      Clique em Buscar dados de amostra . Os campos de evento ou fluxo especificados junto com seus valores (se disponíveis) são anexados à seção Evento ou Fluxo, conforme mostrado abaixo:
      IBM QRadar: Criar perfil: Mapeamento: Personalizado: Resultado
      Depois de buscar os dados de amostra, os valores correspondentes desses campos são preenchidos no lado esquerdo do formulário.
      IBM QRadar: Criar perfil: Infrações preenchidas

    O que Fazer Depois

    Depois de obter os dados de amostra, a próxima etapa é mapear os campos de infração para o incidente de segurança.