IBM QRadar Paramètres de configuration d’intégration
Utilisez cette option pour modifier les propriétés système par défaut de l’intégration d’ingestion IBM QRadar .
Pour modifier les propriétés système, connectez-vous en tant qu’utilisateur ayant le rôle sn_si.admin et accédez à .
| Nom de la propriété | Description |
|---|---|
| Appliquer une limite au nombre d'incidents de sécurité qui peuvent être créés dans la période de 24 heures. sn_sec_qradar.max_si_par_jour |
Spécifie le nombre maximal d’incidents de sécurité qui peuvent être créés en 24 heures.
|
| Appliquez une limite au nombre d’infractions qui peuvent être regroupées en un seul incident. sn_sec_qradar.max_aggregation_per_si |
Limite de l’agrégation des infractions pour un incident de sécurité. Par exemple, s’il y a 102 infractions, les 100 premières infractions sont agrégées aux incident_1 de sécurité et les 2 autres aux incident_2 de sécurité.
|
| Cette propriété définit la période d’AQL pour extraire les événements/flux récents pour une infraction particulière. sn_sec_qradar.on_demand_recent_days_limit |
Spécifie le nombre de jours nécessaires pour extraire les événements ou flux récents pour une infraction particulière.
|
| Cette propriété limite le nombre d’événements récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_event_limit |
Spécifie le nombre d’événements récupérés pour une infraction. Les événements les plus récents sont récupérés en premier en fonction de l’horodatage de l’événement.
|
| Cette propriété limite le nombre de flux récents récupérés pour une infraction particulière. sn_sec_qradar.on_demand_flow_limit |
Spécifie le nombre de flux récupérés pour une infraction. Les flux les plus récents sont récupérés en premier sur la base de l’horodatage du flux.
|
| Cette propriété définit la valeur de délai d’expiration (secondes) pour l’AQL qui extrait les flux/événements récents pour une infraction particulière. sn_sec_qradar.on_demand_timeout |
|
| ID de recherche Délai d’expiration (secondes) des enregistrements en file d’attente pour l’interrogation des AQL d’une infraction. sn_sec_qradar.sid_ttl |
Délai d’attente de l’AQL pour une infraction dans la file d’attente avant de créer un incident de sécurité. Par exemple, s’il y a 90 infractions, les 50 premières infractions sont traitées pour les données AQL dans le premier lot, et les 40 infractions restantes dans le lot suivant dans le même intervalle d’interrogation.
|
Seuil permettant de contrôler le nombre de recherches qui peuvent être exécutées IBM QRadar en même temps et qui est déclenché par l’intégration planifiée job.sn_sec_qradar.records_threshold_in_que_for_aql |
Spécifie le nombre d’infractions que vous pouvez extraire en un seul lot dans un intervalle d’interrogation.
|
Il s’agit du nombre de jours pour le nettoyage des tables d’intégration. sn_sec_qradar.queue_item_expire |
Les tables d’intégration sont les suivantes :
|
Limite d’infractions par exécution de tâche planifiée par profil, soit en récupération ponctuelle, soit en ingestion continue. sn_sec_qradar.max_offense_limit_per_run |
Spécifie le nombre d’infractions que vous récupérez dans Now Platform en une seule récupération.
|
Définissez cette propriété pour activer la fonctionnalité Mises à jour des infractions. sn_sec_qradar.get_offense_updates |
Remarque :
L’activation de ce paramètre peut entraîner un retard dans la création d’un incident de sécurité.
|
Tous les paramètres d’intégration modifiés seront appliqués lors du prochain intervalle d’interrogation, tel que défini dans le profil.